SignedObject (Serializable object, PrivateKey signingKey, Signature signingEngine)
它是安全的序列化和实现这一目标的客户端应用程序?有没有办法通过反思来获得PrivateKey?是SignedObject中安全交付给客户端应用程序
我想用这个对象来保存数字签名以及签名的数据。
SignedObject (Serializable object, PrivateKey signingKey, Signature signingEngine)
它是安全的序列化和实现这一目标的客户端应用程序?有没有办法通过反思来获得PrivateKey?是SignedObject中安全交付给客户端应用程序
我想用这个对象来保存数字签名以及签名的数据。
的序列化对象只包括对象本身和签名(与用于签名目的的算法),如前所述这里:
http://java.sun.com/j2se/1.4.2/docs/api/serialized-form.html#java.security.SignedObject
结果,它是安全的周围通过这些。不仅可以通过该对象单独确定私钥,而且它也不能在一路上被篡改,所以对象将保持可信(只要客户端验证它)。
这样的事情可以去错在令人惊讶的方式。例如,旁道攻击。我一定会更放心不做这样的事情。 – 2010-07-06 09:43:36
你对数字签名感到不舒服吗?就是这样。没有旁路攻击,因为私钥对客户端应用程序不可用。 – 2010-07-06 11:24:40
好找,我没有意识到这个类甚至存在:) – 2010-07-06 11:25:28