Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger

 << zurück
Java ist auch eine Insel von Christian Ullenboom
Programmieren für die Java 2-Plattform in der Version 5
Java ist auch eine Insel

Java ist auch eine Insel
5., akt. und erw. Auflage
1454 S., mit CD, 49,90 Euro
Galileo Computing
ISBN 3-89842-747-1
gp Kapitel 25 Sicherheitskonzepte
  gp 25.1 Der Sandkasten (Sandbox)
  gp 25.2 Sicherheitsmanager (Security Manager)
    gp 25.2.1 Der Sicherheitsmanager bei Applets
    gp 25.2.2 Sicherheitsmanager aktivieren
    gp 25.2.3 Wie nutzen die Java-Bibliotheken den Sicherheitsmanager?
    gp 25.2.4 Rechte vergeben durch Policy-Dateien
    gp 25.2.5 Erstellen von Rechte-Dateien mit dem grafischen Policy-Tool
    gp 25.2.6 Kritik an den Policies
  gp 25.3 Dienstprogramme zur Signierung
    gp 25.3.1 Mit keytool Schlüssel erzeugen
    gp 25.3.2 Signieren mit jarsigner
  gp 25.4 Digitale Unterschriften
    gp 25.4.1 Die MDx-Reihe
    gp 25.4.2 Secure Hash Algorithm (SHA)
    gp 25.4.3 Mit der Security-API einen Fingerabdruck berechnen
    gp 25.4.4 Die Klasse MessageDigest
    gp 25.4.5 Unix-Crypt
  gp 25.5 Verschlüsseln von Daten(-strömen)
    gp 25.5.1 Den Schlüssel bitte
    gp 25.5.2 Verschlüsseln mit Cipher
    gp 25.5.3 Verschlüsseln von Datenströmen


Galileo Computing

25.3 Dienstprogramme zur Signierundowntop

Wir wollen uns in diesem Abschnitt mit einigen Werkzeugen beschäftigen, die zur Signierung von Applets des Java-SDK in der Standardinstallation angeboten werden. Zum Signieren von Applikationen sowie Applets und zur Vergabe der Zugriffsrechte und -beschränkungen stellt Sun die Dienstprogramme keytool, jarsigner und policytool bereit.


Galileo Computing

25.3.1 Mit keytool Schlüssel erzeugen  downtop

Das Programm keytool erzeugt öffentliche und private Schlüssel und legt sie in einer passwortgeschützten und verschlüsselten Datei ab. Die Datei hat standardmäßig den Namen .keystore und befindet sich im Benutzerverzeichnis des Anwenders. Mit dem Programm keytool lassen sich neben der Schlüsselgenerierung auch Zertifikate importieren, Zertifikatsanforderungen ausstellen und Schlüssel als vertrauenswürdig festlegen.

Möchten wir einen Schlüssel erstellen, rufen wir das Programm keytool mit der Option -genkey auf. Das ist eine der wichtigsten Optionen. Daneben wird mit der Option -alias ein Name für den Schlüsselinhaber angegeben:

 keytool -genkey -alias CUllenboom  

Anschließend fragt keytool nach dem Passwort des Schlüsselspeichers und erfragt weitere Angaben zum Inhaber. Mit diesen Informationen erzeugt das Programm ein Schlüsselpaar mit einem selbstzertifizierenden Zertifikat. Bei diesem speziellen Zertifikat sind Aussteller und Inhaber identisch.


Tabelle 25.1   Optionen von keytool

-genkey Erzeugung eines Schlüsselpaars
-import Importieren eines Zertifikats
-selfcert Erstellung eines selbstinitiierten Zertifikats
-certreq Export einer Zertifikatsanforderung; sie kann als Datei an eine CA geschickt werden.
-export Export eines Zertifikats. Dieses kann dann von einem anderen Benutzer importiert und als vertrauenswürdig deklariert werden.
-list Listet alle Zertifikate und Schlüssel auf.
-delete Entfernt ein Schlüsselpaar.
-help Zeigt eine kurze Hilfe an.

Die Angabe der Optionen ist immer dann sinnvoll, wenn die Standardeinstellungen unpassend sind. Über die Optionen lassen sich die Algorithmen zur Verschlüsselung und Schlüsselgenerierung ebenso angeben wie eine Pfadangabe des Schlüsselspeichers oder die Gültigkeitsdauer.


Galileo Computing

25.3.2 Signieren mit jarsigner  toptop

Mit dem Dienstprogramm jarsigner können Jar-Archive signiert und verifiziert werden. Dazu erstellt jarsigner einen Hashcode des Archivs und verschlüsselt dann mit dem privaten Schlüssel die Datei. Das Zertifikat und der öffentliche Schlüssel werden dem Archiv beigelegt. Der allgemeine Aufruf von jarsigner hat folgendes Format:

 jarsigner Archiv Keystore  

Beispiel   Signiere das Archiv archiv.jar mit dem Schlüsselspeicher von CUllenboom.
$   jarsigner archiv.jar CUllenboom  

Dann werden dem Archiv zwei weitere Dateien hinzugefügt. Eine Signatur-Datei mit der Endung .sf und eine Signaturblock-Datei mit der Endung .dsa. Die Signatur-Datei enthält eine Liste aller Dateien im Archiv und speichert zudem den Hash-Wert zu einer mit aufgeführten Hash-Funktion. Diese Signatur-Datei wird dann mit dem privaten Schlüssel des Signierers signiert und zusammen mit dem verschlüsselten Zertifikat des Signierers in der Signaturblock-Datei gespeichert.

Möchten wir wissen, ob ein Archiv verifiziert ist, schreiben wir:

 jarsigner -verify Archiv  
 << zurück




Copyright © Galileo Press GmbH 2005
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de