1. Inicio
  2. Pregunta y respuesta
  3. ¿Cuál es el punto de firmar código, como jarras?

¿Cuál es el punto de firmar código, como jarras?

2010-07-24 10 views

Respuesta

16

El objetivo de firmar un archivo JAR es verificar que no se haya manipulado. Una vez que se haya firmado un archivo jar, puede verificar que este archivo no haya sido modificado por otra persona. Esto asegura que el archivo se origina de la persona que lo firmó originalmente. Si alguien ha modificado el archivo en el medio, el proceso de verificación de la firma fallará. Puede consultar this article para obtener más información sobre cómo public key cryptography podría utilizarse para realizar la firma digital.

Fuente

2010-07-24 21:39:53

5

Cuando firma un archivo jar puede mostrar que fue que que lo firmó y no otra persona.

Es la misma idea cuando firma un documento; solo usted puede escribir su firma. Otras personas pueden firmarlo, pero lo firmarán con su firma, no la tuya.

Con las firmas escritas a mano, un falsificador experto puede aprender a copiar su firma. Con digital signatures es mucho más difícil hacer una copia porque necesita obtener la clave privada de esa persona. Sin la clave privada, no puede hacer una firma que se parezca a la de ellos.

Fuente

2010-07-24 21:40:15

5

Firmar un contenedor vincula el contenido a un certificado en particular. Entonces, ¿qué prueba ese certificado?

Si la clave privada para el certificado ha sido robada, entonces no mucho. Hay dispositivos a prueba de manipulaciones para mantener claves privadas. Sin embargo, a menudo las claves privadas a menudo mienten en las máquinas de desarrollo. Esas máquinas probablemente no están bien protegidas.

Un certificado puede estar firmado por una autoridad certificadora (CA) bien conocida. Por lo tanto, el usuario final tiene cierta confianza en que el contenido tiene el origen declarado. La cantidad de verificación que el titular de la clave del certificado es quien dicen ser varía. Esto ha llevado a una carrera hacia abajo donde las CA simplifican los procedimientos para ofrecer precios más bajos.

Incluso para certificados no verificados, diferentes contenidos firmados con el mismo certificado muestran un origen común. Por lo tanto, si toma la decisión de confiar en un certificado, puede recibir más contenido del mismo origen sin confiar en nadie más.

Fuente

2010-07-24 22:12:25

+1

Te refieres a la clave privada, no al certificado, en la mayoría de las anteriores. – EJP

+0

@EJP ¿Certificado que incluye la clave privada? El mecanismo de firma de confianza no es realmente mi especialidad. –

+1

Tiene un certificado, que es público y contiene la clave pública, y una clave privada. En un almacén de claves de Java, la clave privada también está envuelta en un certificado, pero eso es solo un detalle de implementación, nunca sale así, y le preocupa principalmente el sobre el robo de todo el almacén de claves o (de alguna manera) la clave privada. Hablar de robo de certs no tiene sentido, son públicos. – EJP

Cuestiones relacionadas

 Cuestiones relacionadas