/ / ¿Cuál es el punto de firmar código, como tarros? - java, seguridad, tarro, señal

¿Cuál es el punto de firmar código, como tarros? - java, seguridad, tarro, señal

¿Cuál es el punto de firmar su código como los tarros de Java cuando todos pueden hacerlo con jarsigner? ¿Cómo proporciona seguridad?

Respuestas

16 para la respuesta № 1

El punto de firmar un archivo JAR es verificar queno ha sido manipulado Una vez que se firma un archivo jar, puede verificar que este archivo no haya sido modificado por otra persona. Esto garantiza que el archivo se origina en la persona que lo firmó originalmente. Si alguien ha modificado el archivo entre el proceso de verificación de la firma, se producirá un error. Puedes comprobar Este artículo para más detalles sobre cómo criptografía de clave pública Podría ser utilizado para realizar firma digital.

5 para la respuesta № 2

Cuando firmas un archivo jar puedes mostrar que fue Eso lo firmó y no alguien más.

Es la misma idea cuando firma un documento; solo usted puede escribir su firma. Otras personas pueden firmarlo, pero lo firmarán con su firma, no tuya

Con firmas escritas a mano, un falsificador experto puede aprender a copiar su firma. Con firmas digitales es mucho más difícil hacer una copia porque necesita obtener la clave privada de esa persona. Sin la clave privada no puede hacer una firma que se parezca a la de ellos.

5 para la respuesta № 3

La firma de un frasco vincula el contenido a un certificado particular. Entonces, ¿qué está demostrando ese certificado?

Si la clave privada para el certificado ha sidoRobado, entonces no mucho. Hay dispositivos a prueba de manipulaciones para mantener las claves privadas. Sin embargo, a menudo las claves privadas se encuentran en las máquinas de los desarrolladores. Esas máquinas probablemente no están bien protegidas.

Un certificado puede ser firmado por un pozoconocida Autoridad de Certificación (CA). Por lo tanto, el usuario final tiene cierta confianza en que el contenido tiene el origen reivindicado. La cantidad de verificación de que el titular de la clave del certificado es quien dice ser varía. Esto ha llevado a una carrera hacia el fondo donde las AC simplifican los procedimientos para ofrecer precios más bajos.

Incluso para certificados no verificados, diferentesEl contenido firmado con el mismo certificado muestra un origen común. Entonces, si toma la decisión de confiar en un certificado, puede recibir más contenido del mismo origen sin confiar en nadie más.

preguntas relacionadas

¿Hay alguna razón para firmar cuerpos de mensajes cuando está utilizando SSL mutuo con un certificado de cliente? Servicios web, seguridad, autenticación, ssl
Clave Secure Authenticode en un servidor de compilación - seguridad, msbuild, authenticode
Firma de código en OS X con un Network-HSM - macos, firma de código, pki, codesign, hsm
Deje que una aplicación firme documentos, pero no le permita ver las claves: linux, seguridad, firma digital, clave privada
Advertencia de seguridad de Java - java, seguridad, java-web-start, firma de código, jnlp
¿Qué es JCE Code Signing CA? - java, applet, certificado, jce
¿Es una buena práctica firmar en código los archivos JAR ejecutables de las aplicaciones de escritorio? - java, jar, firma de código, ejecutable-jar, jarsigner
Los recursos jar en jnlp no están firmados por el mismo certificado: java, rcp, java-web-start, jnlp
El algoritmo SHA 3 en lugar de SHA 1 para firmar el Apk de Android para Native y Xamarin - java, android, xamarin.android, xamarin.forms, build.gradle
Java 1.7.0_55 applet firma AccessControlException - java, security, applet, accesscontrolexception
Permitir la firma de pdf usando iText - java, pdf, itext, firma, firma
Google Play: transferencia de una aplicación firmada con la misma clave de aplicación que mis otras aplicaciones: java, android, google-play, firma de código
¿Qué sucede si el certificado de un frasco firmado (con marca de tiempo) caduca? - java, jar-sign
El applet de Java firmado no funciona: java, applet, certificado, firma de código
¿Es una buena idea usar y establecer un valor para los atributos MIDlet-Permissions-Opt y / o MIDlet-Permissions para firmar automáticamente un MIDlet? - java-me, midp, firma, midlet
Cómo firmar el archivo jar en Gradle - gradle, firma, jarsigner
Firme la aplicación antes de cargarla al mercado android - android, google-play, firmar
Android: ¿cómo firmo mi aplicación usando una clave existente? - Android, firma de código
¿Cómo firmar el archivo rom.zip de Android? - android
Aplicaciones de firma que ya están firmadas a través de Google Play Firma localmente - android, google-play, firma