如何驗證用jarsigner以編程方式簽名的jar

Question

我想使用jarsigner簽名jar，然後使用沒有簽名的jar作爲classpath的一部分的Java應用程序來驗證它（即只使用文件系統的位置罐子）

現在我的問題是從jar簽名文件，有沒有一種簡單的方法來做到這一點？

我已經與Inflater和Jar InputStreams一起玩，沒有運氣。

或者這是能夠以更好的方式完成的事情嗎？

由於

Answer 1

的security Provider implementation guide概述驗證JAR文件的過程。儘管這些說明適用於JCA加密服務提供商自行驗證，但它們應適用於您的問題。

具體而言，請查看示例代碼"MyJCE.java"中的verify(X509Certificate targetCert)方法。

Answer 2

您可以使用jarsigner應用程序來執行此操作。在的ProcessBuilder（或的Runtime.exec），您可以運行這些論點

ProcessBulider pb = new ProcessBuilder("/usr/bin/jarsigner", "-verify", "-certs", f.getAbsolutePath()); 

和如果證實輸出，則爲然後將罐子簽署命令

Process p = pb.start(); 
p.waitFor(); 
InputStream is = p.getInputStream(); 
InputStreamReader isr = new InputStreamReader(is); 
BufferedReader br = new BufferedReader(isr); 
String line; 
while ((line = br.readLine()) != null) 
{ 
if(line.contains("verified"); 
... 

有更復雜的東西，你可以做的時候你有jarsigner代碼的輸出。

Answer 3

您可以簡單地使用java.util.jar.JarFile打開JAR並告訴它來驗證JAR文件。如果JAR已簽名，那麼JarFile可以選擇驗證它（默認情況下它是打開的）。但是，JarFile也會高興地打開未簽名的JAR，因此您還必須檢查文件是否已簽名。您可以通過檢查JAR的清單來獲取* -Digest屬性：具有這種屬性屬性的元素被簽名。

例子：

JarFile jar = new JarFile(new File("path/to/your/jar-file")); 

// This call will throw a java.lang.SecurityException if someone has tampered 
// with the signature of _any_ element of the JAR file. 
// Alas, it will proceed without a problem if the JAR file is not signed at all 
InputStream is = jar.getInputStream(jar.getEntry("META-INF/MANIFEST.MF")); 
Manifest man = new Manifest(is); 
is.close(); 

Set<String> signed = new HashSet(); 
for(Map.Entry<String, Attributes> entry: man.getEntries().entrySet()) { 
    for(Object attrkey: entry.getValue().keySet()) { 
     if (attrkey instanceof Attributes.Name && 
      ((Attributes.Name)attrkey).toString().indexOf("-Digest") != -1) 
      signed.add(entry.getKey()); 
    } 
} 

Set<String> entries = new HashSet<String>(); 
for(Enumeration<JarEntry> entry = jar.entries(); entry.hasMoreElements();) { 
    JarEntry je = entry.nextElement(); 
    if (!je.isDirectory()) 
     entries.add(je.getName()); 
} 

// contains all entries in the Manifest that are not signed. 
// Ususally, this contains: 
// * MANIFEST.MF itself 
// * *.SF files containing the signature of MANIFEST.MF 
// * *.DSA files containing public keys of the signer 

Set<String> unsigned = new HashSet<String>(entries); 
unsigned.removeAll(signed); 

// contains all the entries with a signature that are not present in the JAR 
Set<String> missing = new HashSet<String>(signed); 
missing.removeAll(entries); 

Answer 4

您可以使用entry.getCodeSigners（）來獲得簽名者在JAR中的特定條目。

確保以verify = true打開JarFile，並在調用entry.getCodeSigners（）之前完全讀取JAR條目。

像這樣可用於驗證不是簽名文件中的每個條目：

boolean verify = true; 
JarFile jar = new JarFile(signedFile, verify); 

// Need each entry so that future calls to entry.getCodeSigners will return anything 
Enumeration<JarEntry> entries = jar.entries(); 
while (entries.hasMoreElements()) { 
    JarEntry entry = entries.nextElement(); 
    IOUtils.copy(jar.getInputStream(entry), new NullOutputStream()); 
} 

// Now check each entry that is not a signature file 
entries = jar.entries(); 
while (entries.hasMoreElements()) { 
    JarEntry entry = entries.nextElement(); 
    String fileName = entry.getName().toUpperCase(Locale.ENGLISH); 
    if (!fileName.endsWith(".SF") 
     && !fileName.endsWith(".DSA") 
     && !fileName.endsWith(".EC") 
     && !fileName.endsWith(".RSA")) { 

     // Now get code signers, inspect certificates etc here... 
     // entry.getCodeSigners(); 
    } 
}