Jar包GPG数字签名方法

最新推荐文章于 2025-10-24 10:36:00 发布
原创 最新推荐文章于 2025-10-24 10:36:00 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jar #java #maven

本文介绍了在软件发布中采用GPG签名以验证软件包完整性的必要性,详细阐述了GPG签名原理和Maven的使用方法。通过在Gitlab-CI中配置GPG签名,确保生产环境中发布的jar包安全可靠,客户可以通过验证公钥和签名文件确认软件来源。

文章目录

需求背景

在这里插入图片描述
你有没有发现,从Maven仓库下载文件的时候,除了我们需要的jar包之外,还有个.asc文件,这个文件就是jar包的数字签名,咱可以通过这个数字签名来验证jar包是否确实是Oracle官方发布的包:
在这里插入图片描述

对于我们的客户,生产环境上运行的程序,有些是从公司 gitlab-ci 上编译出来的,有些是开发者个人电脑上编译出来的,还有的是客户自己改代码后编译出来的,程序出问题后,到底是谁的责任呢?比如,executor-proxy-provider.jar 可以直接接触到客户生产环境的数据,万一这个文件被人恶意篡改,把客户数据删掉了,咋整…

所以,咱也需要将公司对外的jar包做个签名,客户拿到jar包后,可以根据签名文件来确认是不是官方的包。

GPG签名原理

参考下这个链接:https://www.ruanyifeng.com/blog/2013/07/gpg.html

大体流程是:

  1. 使用GPG生成一对密钥,公钥和私钥
  2. 使用私钥对文件进行签名,并生成签名文件
  3. 将文件、该文件对应的签名文件 以及 公钥,同时对外公布
  4. 用户使用公钥和签名文件,对该文件进行签名验证

Maven使用GPG签名

参考下官方链接:https://maven.apache.org/plugins/maven-gpg-plugin/usage.html

最低0.47元/天 解锁文章
GPG加密解密
single_g_l的博客
08-13 5747
由于公钥服务器没有检查机制,任何人都可以用你的名义上传公钥,所以没有办法保证服务器上的公钥的可靠性。通常,你可以在网站上公布一个公钥指纹,核对下载到的公钥是否为真。然后通过交换机制,所有的公钥服务器都会含你的公钥。至于邮件的加密,不同的邮件客户端有不同的设置。最好再生成一张"撤销证书",以备以后密钥作废时,可以请求外部的公钥服务器撤销你的公钥。生成自己的密钥后,还要[import参数]将他人的公钥或者你的其他密钥导入系统。想要获得他人的公钥,可以让对方直接发给你,或者到公钥服务器上找。...
gpg加密发布jarmaven中央仓库详细过程以及踩的坑
weixin_38096157的博客
04-01 3651
最近为了提升逼格,当然主要是为了便于之后使用,我尝试将自己写的jar发布到maven中央仓库,历时一个月的摸爬滚打,最终成功发布!!! 现在我把发布过程中踩到的坑分享一下,与君共勉! 私有域名认证Group Id 为了高逼格,我没有满足于使用com.github.xxx作为Group Id,而是在腾讯云买了个qinpiyi.com的域名(domain)。提交issue工单后几个小时后收到了一封邮...
jar 自动数字签名工具
10-19
可以自动完成对jar数字签名 如对挂在网页上的applet进行数字签名
如果给jar制作数字签名
03-21
按照文档中一步步的做就可以做签名工具给jar数字签名了很有用
什么是GPG签名,Signed-off-by
最新发布
张紫娃的博客
10-24 213
伪造),而 GPG 签名通过非对称加密技术,为提交添加 “数字指纹”,解决了 “提交身份伪造” 和 “内容篡改” 问题。开发者先通过 GPG 生成一对密钥 ——私钥(自己保管,用于 “签名”)和公钥 (公开分享,用于 “验证”)。提交代码时,用自己的私钥对提交内容(括代码快照、作者信息等)进行加密,生成一个 “签名串”,附加到提交对象中。其他人获取该提交后,用提交者公开的公钥解密签名串。Git 本身的提交信息(作者、邮箱)是可以手动修改的(例如通过。,确保该提交确实来自声称的作者,且未被篡改。
Jar文件的数字签名
Robin Hu的专栏
12-13 4793
JAR文件可以用 jarsigner工具或者直接通过 java.securityAPI 签名。签名后的JAR 本身的文件文件与原来JAR本身的 文件完全相同,只是更新了它的 manifest文件,并在 META-INF 目录中增加了两个文件,一个签名文件和一个签名块文件。 如果你对数字签名还不熟悉,请先阅读《数字签名简介》,《Java数字签名和数字证书》 JAR文件可以用一个存储在 Keys
Jar 文件数字签名
hunterK的专栏
09-06 7441
JAR 文件中的安全性JAR 文件可以用 jarsigner 工具或者直接通过 java.security API 签名。一个签名的 JAR 文件与原来的 JAR 文件完全相同,只是更新了它的 manifest,并在 META-INF 目录中增加了两个文件,一个签名文件和一个签名块文件。 JAR 文件是用一个存储在 Keystore 数据库中的证书签名的。存储在 keystore 中的证书
gpg加密签名2.0-版本
01-31
PGP是一种广泛使用的加密软件,提供数据加密和数字签名服务,确保数据在传输过程中不被篡改或泄露。2.0版本是PGP的一个重要里程碑,引入了许多改进和增强,括更强大的加密算法、更好的用户界面以及对现代操作系统...
xxljob打jar报错Could not determine gpg version
03-08
以上更改使得每次执行 `mvn deploy` 命令时都会调用 maven-gpg-plugin 来为产生的 artifacts 加上数字签名[^2]。 #### 排查其他潜在问题 有时即使完成了前面几步仍然会出现无法解析 GPG 版本的问题。此时应当仔细...
gpg4win-3.1.14.exe gpg的windows版本安装
01-08
gpg4win的使用,使得开发者可以轻松地为自己的jar或pom.xml文件生成签名,增强了软件的可信度。 具体操作流程如下:首先,使用gpg4win生成一对密钥,然后在Maven的settings.xml文件中配置公钥ID和密码,最后在...
使用 GPG 对RPM进行签名
路人丙的奋斗史
03-18 1089
使用 GPG 对RPM进行签名 RPM软件签名可用于对RPM软件实施加密完整性检查。 首先生成 gpg 的密钥对 $ sudo gpg --gen-key gpg: WARNING: unsafe ownership on homedir '/home/kyle/.gnupg' gpg (GnuPG) 2.2.4; Copyright (C) 2017 Free Software Foundation, Inc. This is free software: you are free to chan
java JAR签名
04-08
java JAR签名java JAR签名java JAR签名java JAR签名java JAR签名
jar签名文
08-08
jar进行数字签名文档 Java Web Start相关
GPG签名及加密
05-17
此文档详细介绍使用GPG的签名和加密的原理及过程!推荐!
jar签名和打工具
09-08
java jar签名和打(gz)工具,具体如何使用,在工具对应文件夹中都有详细的说明。xxxx.jks只需要自行放进对应路径中即可。
1.7JAR签名工具
09-17
jar签名工具,需要的朋友知道是什么东西,特别好用,不要错过
Jar的签名和验签
hello
06-18 3655
Jar文件的数字签名 JAR文件可以用 jarsigner工具或者直接通过 java.securityAPI 签名。签名后的JAR 本身的文件文件与原来JAR本身的 文件完全相同,只是更新了它的 manifest文件,并在 META-INF 目录中增加了两个文件,一个签名文件和一个签名块文件。 ...
Jar 签名
weixin_30425949的博客
08-20 780
1,加密、摘要和数字签名 (1)公钥加密算法 关于公钥加密算法,参考维基百科词条 Public-key cryptography。 公钥加密算法又称为非对称密钥加密算法,因为它含一个公钥-私钥对,称为key pair。即 key pair = private key + public key。 从功能上说,两个key作用相同,用一个key加密的消息,只能用另一个key解密...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值