Я хочу подписать банку с помощью jarsigner, а затем проверить ее с помощью приложения Java, у которого нет подписанного jar как части его пути к классам (т.е. просто использовать расположение файловой системы в банке)
Теперь моя проблема заключается в получении файла подписи из банки, есть ли простой способ сделать это?
У меня была игра с Inflater и Jar InputStreams без везения.
Или это может быть достигнуто лучше?
Спасибо
руководство по внедрению поставщика безопасности описывает процесс проверки JAR. Хотя эти инструкции предназначены для проверки поставщика криптографических услуг JCA, они должны быть применимы к вашей проблеме.
В частности, ознакомьтесь с методом verify(X509Certificate targetCert) в примере кода MyJCE.java.
Вы можете просто открыть JAR с помощью java.util.jar.JarFile и сообщить ему, чтобы проверить файл JAR. Если JAR подписан, тогда JarFile имеет возможность проверить его (который включен по умолчанию). Тем не менее, JarFile также с радостью откроет беззнаковые JAR, поэтому вы также должны проверить, подписан ли файл. Вы можете сделать это, проверив манифест JAR для атрибутов * -Digest: Элементы с таким атрибутом атрибута подписаны.
Пример:
JarFile jar = new JarFile(new File("path/to/your/jar-file"));
// This call will throw a java.lang.SecurityException if someone has tampered
// with the signature of _any_ element of the JAR file.
// Alas, it will proceed without a problem if the JAR file is not signed at all
InputStream is = jar.getInputStream(jar.getEntry("META-INF/MANIFEST.MF"));
Manifest man = new Manifest(is);
is.close();
Set<String> signed = new HashSet();
for(Map.Entry<String, Attributes> entry: man.getEntries().entrySet()) {
for(Object attrkey: entry.getValue().keySet()) {
if (attrkey instanceof Attributes.Name &&
((Attributes.Name)attrkey).toString().indexOf("-Digest") != -1)
signed.add(entry.getKey());
}
}
Set<String> entries = new HashSet<String>();
for(Enumeration<JarEntry> entry = jar.entries(); entry.hasMoreElements(); ) {
JarEntry je = entry.nextElement();
if (!je.isDirectory())
entries.add(je.getName());
}
// contains all entries in the Manifest that are not signed.
// Ususally, this contains:
// * MANIFEST.MF itself
// * *.SF files containing the signature of MANIFEST.MF
// * *.DSA files containing public keys of the signer
Set<String> unsigned = new HashSet<String>(entries);
unsigned.removeAll(signed);
// contains all the entries with a signature that are not present in the JAR
Set<String> missing = new HashSet<String>(signed);
missing.removeAll(entries);
Вы можете использовать entry.getCodeSigners(), чтобы получить подписчиков для конкретной записи в JAR.
Обязательно откройте JarFile с помощью verify = true и полностью прочитайте запись JAR перед вызовом entry.getCodeSigners().
Что-то вроде этого можно было бы использовать для проверки каждой записи, которая не является сигнатурным файлом:
boolean verify = true;
JarFile jar = new JarFile(signedFile, verify);
// Need each entry so that future calls to entry.getCodeSigners will return anything
Enumeration<JarEntry> entries = jar.entries();
while (entries.hasMoreElements()) {
JarEntry entry = entries.nextElement();
IOUtils.copy(jar.getInputStream(entry), new NullOutputStream());
}
// Now check each entry that is not a signature file
entries = jar.entries();
while (entries.hasMoreElements()) {
JarEntry entry = entries.nextElement();
String fileName = entry.getName().toUpperCase(Locale.ENGLISH);
if (!fileName.endsWith(".SF")
&& !fileName.endsWith(".DSA")
&& !fileName.endsWith(".EC")
&& !fileName.endsWith(".RSA")) {
// Now get code signers, inspect certificates etc here...
// entry.getCodeSigners();
}
}
Вы можете использовать приложение jarsigner для этого. В Processbuilder (или Runtime.exec) вы можете запустить команду с этими аргументами
ProcessBulider pb = new ProcessBuilder("/usr/bin/jarsigner", "-verify", "-certs", f.getAbsolutePath());
и если выходные концы проверяются, то баночка подписывается
Process p = pb.start();
p.waitFor();
InputStream is = p.getInputStream();
InputStreamReader isr = new InputStreamReader(is);
BufferedReader br = new BufferedReader(isr);
String line;
while ((line = br.readLine()) != null)
{
if(line.contains("verified");
...
Это более сложные вещи, которые вы можете сделать, когда у вас есть вывод кода jarsigner.