我想使用 jarsigner 对 jar 进行签名,然后使用 Java 应用程序对其进行验证,该应用程序没有将签名的 jar 作为其类路径的一部分(即仅使用 jar 的文件系统位置)
现在我的问题是从 jar 中获取签名文件,有没有一种简单的方法可以做到这一点?
我玩过 Inflater 和 Jar InputStreams 没有运气。
或者这是可以以更好的方式完成的事情?
谢谢
问问题
35737 次
4 回答
17
您可以简单地使用 java.util.jar.JarFile 打开 JAR 并告诉它验证 JAR 文件。如果 JAR 已签名,则 JarFile 可以选择验证它(默认情况下启用)。但是,JarFile 也会愉快地打开未签名的 JAR,因此您还必须检查文件是否已签名。您可以通过检查 JAR 清单中的 *-Digest 属性来做到这一点:具有此类属性属性的元素已签名。
例子:
JarFile jar = new JarFile(new File("path/to/your/jar-file"));
// This call will throw a java.lang.SecurityException if someone has tampered
// with the signature of _any_ element of the JAR file.
// Alas, it will proceed without a problem if the JAR file is not signed at all
InputStream is = jar.getInputStream(jar.getEntry("META-INF/MANIFEST.MF"));
Manifest man = new Manifest(is);
is.close();
Set<String> signed = new HashSet();
for(Map.Entry<String, Attributes> entry: man.getEntries().entrySet()) {
for(Object attrkey: entry.getValue().keySet()) {
if (attrkey instanceof Attributes.Name &&
((Attributes.Name)attrkey).toString().indexOf("-Digest") != -1)
signed.add(entry.getKey());
}
}
Set<String> entries = new HashSet<String>();
for(Enumeration<JarEntry> entry = jar.entries(); entry.hasMoreElements(); ) {
JarEntry je = entry.nextElement();
if (!je.isDirectory())
entries.add(je.getName());
}
// contains all entries in the Manifest that are not signed.
// Ususally, this contains:
// * MANIFEST.MF itself
// * *.SF files containing the signature of MANIFEST.MF
// * *.DSA files containing public keys of the signer
Set<String> unsigned = new HashSet<String>(entries);
unsigned.removeAll(signed);
// contains all the entries with a signature that are not present in the JAR
Set<String> missing = new HashSet<String>(signed);
missing.removeAll(entries);
于 2009-11-25T13:02:09.210 回答
16
安全提供者实施指南概述了验证 JAR的过程。尽管这些说明是供 JCA 加密服务提供商验证自己的,但它们应该适用于您的问题。
具体来说,查看verify(X509Certificate targetCert)示例代码“MyJCE.java”中的方法。
于 2009-09-03T16:02:29.330 回答
3
您可以使用 entry.getCodeSigners() 来获取 JAR 中特定条目的签名者。
确保使用 verify=true 打开 JarFile 并在调用 entry.getCodeSigners() 之前完全读取 JAR 条目。
像这样的东西可以用来验证不是签名文件的每个条目:
boolean verify = true;
JarFile jar = new JarFile(signedFile, verify);
// Need each entry so that future calls to entry.getCodeSigners will return anything
Enumeration<JarEntry> entries = jar.entries();
while (entries.hasMoreElements()) {
JarEntry entry = entries.nextElement();
IOUtils.copy(jar.getInputStream(entry), new NullOutputStream());
}
// Now check each entry that is not a signature file
entries = jar.entries();
while (entries.hasMoreElements()) {
JarEntry entry = entries.nextElement();
String fileName = entry.getName().toUpperCase(Locale.ENGLISH);
if (!fileName.endsWith(".SF")
&& !fileName.endsWith(".DSA")
&& !fileName.endsWith(".EC")
&& !fileName.endsWith(".RSA")) {
// Now get code signers, inspect certificates etc here...
// entry.getCodeSigners();
}
}
于 2016-06-05T10:54:15.733 回答
-2
您可以使用 jarsigner 应用程序来执行此操作。在 processbuilder(或 Runtime.exec)中,您可以使用这些参数运行命令
ProcessBulider pb = new ProcessBuilder("/usr/bin/jarsigner", "-verify", "-certs", f.getAbsolutePath());
如果输出 contians 已验证,则 jar 已签名
Process p = pb.start();
p.waitFor();
InputStream is = p.getInputStream();
InputStreamReader isr = new InputStreamReader(is);
BufferedReader br = new BufferedReader(isr);
String line;
while ((line = br.readLine()) != null)
{
if(line.contains("verified");
...
当你有 jarsigner 代码的输出时,你可以做一些更复杂的事情。
于 2009-09-03T16:13:43.493 回答