[英]Loading a keystore without checking its integrity
这个问题是在Java类java.security.KeyStore及其load(InputStream stream,char [] password)方法的特定上下文中进行的,该方法可以接受密码的空值以绕过完整性检查。
在不检查密钥库完整性的情况下加载和查询密钥库有什么风险? 将查询密钥库以获取用户的私钥,该私钥将用于对文档进行不可否认的签名。 在用户注册自己和(假定完全相同)证书时,将针对存储在数据库中的副本进一步验证查询的证书。
好吧,主要的风险是任何可以读取该文件的人也可以对其进行修改。 因此,有人可以用其他具有相同名称但包含不同私钥的密钥库替换您读取的文件,从而最终用错误的私钥对文档进行签名,并且它们都不会通过验证。
同样,有权访问该文件的任何人都可以访问私钥,并且可以像对您的应用程序一样对文档进行签名。
Java 密钥库未能通过 PKCS12 完整性检查,但 keytool 有效
[英]Java keystore failed PKCS12 integrity checking but keytool works
使用BouncyCastleProvider的KeyStore:KeyStore完整性检查失败
[英]KeyStore with BouncyCastleProvider: KeyStore integrity check failed
尝试使用 Java Keystore 解析 WS2016 生成的 PKCS12:PKCS12 完整性检查失败
[英]Trying to parse PKCS12 generated by WS2016 using Java Keystore: Failed PKCS12 integrity checking
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
