SignedObject (Serializable object, PrivateKey signingKey, Signature signingEngine)
它是安全的序列化和實現這一目標的客戶端應用程序?有沒有辦法通過反思來獲得PrivateKey?是SignedObject中安全交付給客戶端應用程序
我想用這個對象來保存數字簽名以及簽名的數據。
SignedObject (Serializable object, PrivateKey signingKey, Signature signingEngine)
它是安全的序列化和實現這一目標的客戶端應用程序?有沒有辦法通過反思來獲得PrivateKey?是SignedObject中安全交付給客戶端應用程序
我想用這個對象來保存數字簽名以及簽名的數據。
的序列化對象只包括對象本身和簽名(與用於簽名目的的算法),如前所述這裏:
http://java.sun.com/j2se/1.4.2/docs/api/serialized-form.html#java.security.SignedObject
結果,它是安全的周圍通過這些。不僅可以通過該對象單獨確定私鑰,而且它也不能在一路上被篡改,所以對象將保持可信(只要客戶端驗證它)。
這樣的事情可以去錯在令人驚訝的方式。例如,旁道攻擊。我一定會更放心不做這樣的事情。 – 2010-07-06 09:43:36
你對數字簽名感到不舒服嗎?就是這樣。沒有旁路攻擊,因爲私鑰對客戶端應用程序不可用。 – 2010-07-06 11:24:40
好找,我沒有意識到這個類甚至存在:) – 2010-07-06 11:25:28