Ajuda na programação, respostas a perguntas / Java / Qual é o sentido de assinar código, como frascos? - java, segurança, jar, sinal

Qual é o sentido de assinar código, como frascos? - java, segurança, jar, sinal

Qual é o sentido de assinar seu código como os jars do Java quando todos podem fazer isso com o jarsigner? Como isso fornece segurança?

Respostas:

16 para resposta № 1

O ponto de assinar um arquivo JAR é verificar senão foi adulterado. Depois que um arquivo jar é assinado, você pode verificar se esse arquivo não foi modificado por outra pessoa. Isso garante que o arquivo seja originado da pessoa que o assinou originalmente. Se alguém tiver modificado o arquivo entre o processo de verificação de assinatura, ele falhará. Você pode verificar Este artigo para mais detalhes sobre como criptografia de chave pública poderia ser usado para executar assinatura digital.

5 para resposta № 2

Quando você assina um arquivo jar você pode mostrar que foi você que assinou e não outra pessoa.

É a mesma ideia quando você assina um documento - só você pode escrever sua assinatura. Outras pessoas podem assiná-lo, mas ele assinará com deles assinatura, não sua.

Com assinaturas manuscritas, um falsificador habilidoso pode aprender a copiar sua assinatura. Com assinaturas digitais é muito mais difícil fazer uma cópia porque você precisa obter a chave privada dessa pessoa. Sem a chave privada, você não pode fazer uma assinatura que se pareça com a dela.

5 para resposta № 3

Assinar um jarro vincula o conteúdo a um certificado específico. Então, o que esse certificado está provando?

Se a chave privada do certificado tiver sidoroubado, então não muito. Existem dispositivos à prova de violação para manter chaves privadas. No entanto, muitas vezes, as chaves privadas geralmente se encontram nas máquinas dos desenvolvedores. Essas máquinas provavelmente não estão bem protegidas.

Um certificado pode ser assinado por um poçoAutoridade de Certificação (CA) conhecida. Assim, o usuário final tem alguma confiança de que o conteúdo tem a origem reivindicada. A quantidade de verificação que o detentor da chave do certificado é quem afirma ser varia. Isso levou a uma corrida para baixo, onde as CAs simplificam os procedimentos para oferecer preços mais baixos.

Mesmo para certificados não verificados, diferentesconteúdo assinado com o mesmo certificado mostra uma origem comum. Portanto, se você decidir confiar em um certificado, poderá receber mais conteúdo da mesma origem sem confiar em mais ninguém.