unable sig create java security jar sign

java - create - jarsigner verify



¿Cuál es el punto de firmar código, como tarros? (3)

Cuando firma un archivo jar, puede mostrar que fue usted quien lo firmó y no otra persona.

Es la misma idea cuando firma un documento, solo usted puede escribir su firma. Otras personas pueden firmarlo, pero lo firmarán con su firma, no con la suya.

Con firmas escritas a mano, un falsificador experto puede aprender a copiar su firma. Con las firmas digitales es mucho más difícil hacer una copia porque necesita obtener la clave privada de esa persona. Sin la clave privada no se puede hacer una firma que se parezca a la de ellos.

¿Cuál es el punto de firmar su código como los tarros de Java cuando todos pueden hacerlo con jarsigner? ¿Cómo proporciona seguridad?

El punto de firmar un archivo JAR es verificar que no haya sido manipulado. Una vez que se firma un archivo jar, puede verificar que este archivo no haya sido modificado por otra persona. Esto asegura que el archivo se origine de la persona que lo firmó originalmente. Si alguien ha modificado el archivo entre el proceso de verificación de la firma fallará. Puede consultar este artículo para obtener más detalles sobre cómo se puede usar la criptografía de clave pública para realizar la firma digital.

La firma de un frasco vincula el contenido a un certificado particular. Entonces, ¿qué está demostrando ese certificado?

Si la clave privada para el certificado ha sido robada, entonces no mucho. Hay dispositivos a prueba de manipulaciones para mantener las claves privadas. Sin embargo, a menudo las claves privadas se encuentran en las máquinas de los desarrolladores. Esas máquinas probablemente no están bien protegidas.

Un certificado puede estar firmado por una Autoridad de Certificación (CA) bien conocida. Por lo tanto, el usuario final tiene cierta confianza en que el contenido tiene el origen reivindicado. La cantidad de verificación de que el titular de la clave del certificado es quien dice ser varía. Esto ha llevado a una carrera hacia el fondo donde las AC simplifican los procedimientos para ofrecer precios más bajos.

Incluso para los certificados no verificados, el contenido diferente firmado con el mismo certificado muestra un origen común. Entonces, si toma la decisión de confiar en un certificado, puede recibir más contenido del mismo origen sin confiar en nadie más.