SignedObject (Serializable object, PrivateKey signingKey, Signature signingEngine)
Est-il sûr de sérialiser et de livrer cet objet à une application cliente? Y a-t-il un moyen pour eux de se procurer PrivateKey par réflexion?SignedObject est-il sûr à distribuer aux applications client
Je souhaite utiliser cet objet pour stocker une signature numérique ainsi que les données qui ont été signées.
Les objets sérialisés ne comprennent que l'objet lui-même et la signature (et l'algorithme utilisé pour la signature), comme indiqué ici:
http://java.sun.com/j2se/1.4.2/docs/api/serialized-form.html#java.security.SignedObject
En conséquence, il est sûr de les transmettre autour. Non seulement la clé privée ne peut être déterminée par l'intermédiaire de cet objet, mais elle ne peut pas non plus être altérée en cours de route, de sorte que l'objet reste fiable (tant que le client le vérifie).
vous pouvez finde plus d'informations sur la sécurité java ici:
http://java.sun.com/javase/6/docs/technotes/guides/security/crypto/CryptoSpec.html
Ce genre de chose peut mal tourner de façon surprenante. Par exemple, les attaques par canal latéral. Je serais certainement plus à l'aise de ne pas faire ce genre de chose. –
Vous n'êtes pas à l'aise avec les signatures numériques? C'est tout ce que c'est. Il n'y a pas d'attaques par canal latéral car la clé privée n'est pas disponible pour l'application cliente. –
bonne trouvaille, je ne savais pas que cette classe existait même :) –