java签名验证原理_java结合keytool如何实现非对称签名和验证详解

最新推荐文章于 2022-06-30 16:19:14 发布
最新推荐文章于 2022-06-30 16:19:14 发布
阅读量243 收藏
点赞数
文章标签: java签名验证原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35143502/article/details/114792377
版权

前言

本文主要介绍了关于java结合keytool实现非对称签名和验证的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧

参考还有姊妹篇:java结合keytool实现非对称加密和解密

keytool的使用

keytool是JDK自带的一个密钥库管理工具。这里只用到了keytool的部分功能,包括生成密钥对,导出公钥等。keytool生成的公钥/私钥对存放到一个到了一个文件中,这个文件有密码保护,通称为keystore。

生成密钥对

$ keytool -genkey -alias signLegal -keystore examplestanstore -validity 1800

生成别名为signLegal的密钥对,存放在密钥库examplestanstore中,证书的有效期是1800天(默认是90天)。

输入一系列的参数。输入的参数遵循了LDAP的风格和标准。可以想象,生成的密钥对可以看成LDAP的一个条目。

命令执行成功后会在当前目录下创建一个叫examplestanstore的文件。

查看密钥对

$ keytool -list -keystore examplestanstore -v

列出了examplestanstore密钥库的中所有密钥对。-v参数表示详细信息,详细信息中有证书的失效时间。

导出公钥证书

$ keytool -export -keystore examplestanstore -alias signLegal -file StanSmith.cer

导出的公钥存放在当前目录的StanSmith.cer文件中,是个二进制文件。

java签名和验证

参考了java安全官方教程。

在该官方教程中,GenSig.java类生成密钥对,对输入的文件进行签名,输出了一个签名结果文件sig和公钥suepk。

VerSig.java类接受三个参数:公钥文件名(suepk)、签名文件(sig)、被签名的源文件名(hello.txt)。

该教程解释了两个类的原理,并附加有源码。将源码下载并编译。创建一个hello.txt的文件作为被签名的目标文件,里面随便放点字符串。然后执行:

$ java GenSig hello.txt (生成文件sig和suepk)

$ java VerSig suepk sig hello.txt

signature verifies: true

在实际使用时,密钥对不可能每次在程序中重新生成。而keytool恰好可以生成并相对安全保存密钥对。所以下面结合了keytool和java实现的功能。

结合keytool与java签名/验证

参考

密钥对由keytool生成并保存到keystore中保护起来(keystore有密码)。公钥也从keystore中导出。GenSig.java类只需要从keystore中取得私钥进行签名即可。

VerSig.java也要做适当的修改。貌似因为从keystore中导出的是证书而不是公钥,两者的封装格式估计有差异。

具体步骤

利用keytool -genkey生成密钥对保存在keystore中(库文件是examplestanstore)

利用`keytool -export'从keystore中导出公钥证书(StanSmith.cer)

利用新类GenSig2.java生成签名(文件名是sig),GenSig2.java会从keystore中取私钥

将公钥(StanSmith.cer)、签名(sig)、被签名文件(hello.txt)发给验证方

验证方利用VerSig2.java进行验证

下面是GenSig2.java和VerSig2.java的源码和执行方式。

GenSig2.java

import java.io.*;

import java.security.*;

class GenSig2 {

public static void main(String[] args) {

if (args.length != 1) {

System.out.println("Usage: java GenSig2 ");

}

else try{

/*create key paire use keytool:

$ keytool -genkey -alias signLegal -keystore examplestanstore -validity 1800*/

// read keystore file

KeyStore ks = KeyStore.getInstance("JKS");

FileInputStream ksfis = new FileInputStream("examplestanstore");

BufferedInputStream ksbufin = new BufferedInputStream(ksfis);

// open keystore and get private key

// alias is 'signLeal', kpasswd/spasswd is 'vagrant'

ks.load(ksbufin, "vagrant".toCharArray());

PrivateKey priv = (PrivateKey) ks.getKey("signLegal", "vagrant".toCharArray());

/* Create a Signature object and initialize it with the private key */

Signature dsa = Signature.getInstance("SHA1withDSA", "SUN");

dsa.initSign(priv);

/* Update and sign the data */

FileInputStream fis = new FileInputStream(args[0]);

BufferedInputStream bufin = new BufferedInputStream(fis);

byte[] buffer = new byte[1024];

int len;

while (bufin.available() != 0) {

len = bufin.read(buffer);

dsa.update(buffer, 0, len);

};

bufin.close();

/* Now that all the data to be signed has been read in,

generate a signature for it */

byte[] realSig = dsa.sign();

/* Save the signature in a file */

FileOutputStream sigfos = new FileOutputStream("sig");

sigfos.write(realSig);

sigfos.close();

/* public key file can export from keystore use keytool:

$ keytool -export -keystore examplestanstore -alias signLegal -file StanSmith.cer */

} catch (Exception e) {

System.err.println("Caught exception " + e.toString());

}

};

编译后,这样运行:

$ java GenSig2 hello.txt

会生成签名文件sig。

VerSig2.java

import java.io.*;

import java.security.*;

import java.security.spec.*;

class VerSig2 {

public static void main(String[] args) {

/* Verify a DSA signature */

if (args.length != 3) {

System.out.println("Usage: VerSig publickeyfile signaturefile datafile");

}

else try{

/* import encoded public cert */

FileInputStream certfis = new FileInputStream(args[0]);

java.security.cert.CertificateFactory cf =

java.security.cert.CertificateFactory.getInstance("X.509");

java.security.cert.Certificate cert = cf.generateCertificate(certfis);

PublicKey pubKey = cert.getPublicKey();

/* input the signature bytes */

FileInputStream sigfis = new FileInputStream(args[1]);

byte[] sigToVerify = new byte[sigfis.available()];

sigfis.read(sigToVerify );

sigfis.close();

/* create a Signature object and initialize it with the public key */

Signature sig = Signature.getInstance("SHA1withDSA", "SUN");

sig.initVerify(pubKey);

/* Update and verify the data */

FileInputStream datafis = new FileInputStream(args[2]);

BufferedInputStream bufin = new BufferedInputStream(datafis);

byte[] buffer = new byte[1024];

int len;

while (bufin.available() != 0) {

len = bufin.read(buffer);

sig.update(buffer, 0, len);

};

bufin.close();

boolean verifies = sig.verify(sigToVerify);

System.out.println("signature verifies: " + verifies);

} catch (Exception e) {

System.err.println("Caught exception " + e.toString());

};

}

}

编译后,这样运行(StanSmith.cer是利用keytool导出的公钥证书,见前文):

$ java VerSig2 StanSmith.cer sig hello.txt

signature verifies: true

openssl

虽然也研究了一下openssl,但发现与java难以结合,难度也很大。例如它的教程中采用的是RSA,而上面的java使用的是DSA。所以只是贴在这里备忘,可以忽略。

参考

生成私钥

$ openssl genrsa -out key.pem 1024

$ cat key.pem

-----BEGIN RSA PRIVATE KEY-----

MIICXQIBAAKBgQCzVDmu6Cf2QF7cERCGYU3B8Epm6pkkpMZFgotphXMgAmBBNJbh

Si7qPH4R5JlEm1ZXPr5DZH/pyJBWQhiiHGeUAOve+GOgvt9Rk25r7OEWYvn/GCr/

JBfLBGqwtlzn/t2s2x04IooshsGkOd6YpZoztkEDtu2gKHedFczF607IvwIDAQAB

AoGAMdbIqUmwQYomUvcTJqXIXIwRwYSVx09cI1lisZL7Kfw/ECAzhq19WHAzgXmM

9zpMxraTXluCCVFKfA6mlfda+ZoBlKSYdOecwNB+TSAumf9XK8uHW/g8C+Ykq9OG

g9Uiy8rKnl12Zaiu9H8L82ud0CkTFW2636/PuKgtp+4YbXECQQDhKdh8lwgumg7H

YIw5476QOHnPL7c3OFPGtaOZMZJkjMPfRzgR4B5PjcGnOLDoTlkATcBPmXtLwwJJ

SzaBdaRjAkEAy+NwdOzC1yQrTrkZQx1brNjO3iytfkl3t1xAWyz5Sy1IB7+4fsod

Eh3br5E1o5YRipY2GJZvp2OAAt3tz6iS9QJASvIYwu+qo4hX3vk9847gwTRrJxFk

1JaFHCEdgUJEzf8ku08DVL/alvRCPxzZlZluenFmz5fwuDkCq87DJ7g2rQJBAMDM

+SnIPdMeA8n0pRvfJjLD7pMP4pu6M3fzx3Owiqj5T9TsCjXzQBxCmdxizzs7DKll

tA/6Kek64PFVFa25tgUCQQCTM1VwfNKjFbd+0HuF6WAs3Odjuo0gKk/QIjdn7M5/

I0kxEApKxTto3oiuCQGeYL/sqy3WjM0476w48+xUsQeF

-----END RSA PRIVATE KEY-----

导出公钥

$ openssl rsa -in key.pem -pubout -out pub-key.pem

$ cat pub-key.pem

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCzVDmu6Cf2QF7cERCGYU3B8Epm

6pkkpMZFgotphXMgAmBBNJbhSi7qPH4R5JlEm1ZXPr5DZH/pyJBWQhiiHGeUAOve

+GOgvt9Rk25r7OEWYvn/GCr/JBfLBGqwtlzn/t2s2x04IooshsGkOd6YpZoztkED

tu2gKHedFczF607IvwIDAQAB

-----END PUBLIC KEY-----

摘要计算

创建一个内容是1234的文本文件hello.txt。用openssl计算它的SHA256摘要(SHA256是jarsigner的默认摘要算法):

$ cat hello.txt

1234

$ openssl dgst -SHA256 -out hello.sha256 hello.txt

$ cat hello.sha256

SHA256(hello.txt)= a883dafc480d466ee04e0d6da986bd78eb1fdd2178d04693723da3a8f95d42f4

签名和验证

对摘要文件hello.sha256进行签名:

$ openssl rsautl -sign -in hello.sha256 -out hello.sign -inkey key.pem

用公钥对签名进行验证:

$ openssl rsautl -verify -in hello.sign -inkey pub-key.pem -pubin

SHA256(hello.txt)= a883dafc480d466ee04e0d6da986bd78eb1fdd2178d04693723da3a8f95d42f4

用公钥验证必须加上-pubin参数。 用私钥对签名进行验证:

$ openssl rsautl -verify -in hello.sign -inkey key.pem

SHA256(hello.txt)= a883dafc480d466ee04e0d6da986bd78eb1fdd2178d04693723da3a8f95d42f4

验证的STD输出与摘要文件hello.sha256的内容一样,说明验证可以通过。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对聚米学院的支持。

一米姐姐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java源码:密钥管理工具 Keytool-IUI.zip
10-13
java源码:密钥管理工具 Keytool-IUI.zip
Java可执行命令】(十一)Java 密钥库和证书管理工具keytool:玩转密钥库和证书管理,深入解析keytool工具的应用与技巧~
最新发布
Technology changes the world of life
07-03 8869
Javakeytool命令是一个强大而灵活的工具,用于生成、导入、导出和管理密钥对和数字证书。它为Java开发人员提供了一种安全可靠的方式来保护应用程序和数据资源。通过遵循合适的使用和操作方法,可以确保密钥和证书的安全性和完整性。有充分的理解和掌握keytool命令,可以更好地进行加密、身份验证和数据保护,并在安全意识和实践中取得成功。
验证数字签名
昨天今天和明天
07-15 930
这篇Java教程基于JDK1.8。教程中的示例和实践不会使用未来发行版中的优化建议。 验证数字签名 如果你拥有一个已经生成好的数字签名,你就可以验证该数字签名的真实性。要做到这一点,你需要 数据 数字签名 用于对数据签名的私钥对应的公钥 在该例中你将通过VerSign程序来验证通过GenSign程序生成的数字签名。为验证数字签名的真实性需要遵循一些步骤。 VerSig导入一个公钥和一个指定数...
数字签名、数字证书的原理以及证书的获得java
长春小佛爷的博客
04-04 1081
首先要了解什么叫对称加密和非对称加密,消息摘要这些知识。 1. 非对称加密 在通信双方,如果使用非对称加密,一般遵从这样的原则:公钥加密,私钥解密。同时,一般一个密钥加密,另一个密钥就可以解密。 因为公钥是公开的,如果用来解密,那么就很容易被不必要的人解密消息。因此,私钥也可以认为是个人身份的证明。 如果通信双方需要互发消息,那么应该建立两套非对称加密的机制(即两对公私钥密钥对),发消息的一方使用对方的公钥进行加密,接收消息的一方使用自己的私钥解密。 2.消息摘要 消息摘要可以将消息哈希转换成一
支付宝rsa签名 java_支付宝RSA签名
weixin_30062415的博客
02-13 770
1、参考网上相关文章,开放php中的openssl,但使用网上例子调用openssl_pkey_new,一直报100013错误。后改用用支付宝提供的SDKdemo程序发现使用提供的privkye,可以生成签名串,但使用苹果电脑生成的key就不成功。参考此文http://orangeholic.iteye.com/blog/2161771PHP RSA加解密示例,在centos下 yum insta...
java结合keytool如何实现非对称签名验证详解
08-27
Java 结合 Keytool 实现非对称签名验证 Java 结合 Keytool 实现非对称签名验证Java 开发者不可或缺的知识点之一。本文将详细介绍如何使用 Java 结合 Keytool 实现非对称签名验证,包括生成密钥对、导出...
Certificate_java_java数字签名_java签名证书_数字证书_
10-04
Java数字签名是基于非对称加密算法(如RSA、DSA)的一种安全机制,用于确保数据的完整性和来源的不可否认性。在Java中,`java.security.Signature`类提供了数字签名的API。签名过程涉及使用私钥对数据进行操作,而...
java生成及验证android签名文件源码及生成签名文件
09-05
开发者可能会使用Java的`KeyStore`类来操作keystore,`KeyPairGenerator`类来生成密钥对,以及`Signature`类来完成签名验证过程。以下是一段简单的示例代码: ```java import java.security.*; // 生成密钥对 ...
java多种方式实现pdf文件电子签名
09-03
在这个项目中,我们主要探讨了利用iTextPDF和PDFBox两个库在Java环境下如何进行PDF电子签名实现。 iTextPDF是一个流行的Java库,专门用于创建、修改和处理PDF文档。它的电子签名功能强大,支持创建、验证和添加...
java读取pem格式私钥_openssl生成RSA格式及pkcs1与pkcs8格式互相转换
weixin_39608509的博客
11-25 1463
openssl简介OpenSSL 是一个开源项目,其组成主要包括以下三个组件:openssl:多用途的命令行工具libcrypto:加密算法库libssl:加密模块应用库,实现了ssl及tlsopenssl可以实现:密钥证书管理、对称加密和非对称加密等,想了解更多搜索查看官网。接下来主要围绕openssl生成RSA格式及pkcs1与pkcs8格式互相转换。配置RSA密钥可以参考支付宝配置密钥:ht...
java rsa私钥加密_JAVA RSA私钥 加密(签名) 对应 C# RSA私钥 加密(签名)
weixin_32980943的博客
02-21 429
非对称密钥RSA算法加解密在C#和Java之间交互的问题,这两天看了很多其他人写的文章,碰到了几个问题,最终解决问题。参考地址:http://xw-z1985.iteye.com/blog/1837376需求目的:完成c#请求端RSA加密(签名)问题,客户端采用C#开发,服务器端采用Java开发。服务器端给客户端提供私钥,进行数据加密(签名),客户端加密(签名)后提数据提交给服务器,服务器用公钥对...
cer证书生成以及签名验签详细篇(keytool 命令)
生命不息,bug不止,一起探讨下写bug的技术吧
03-22 9428
我们用cmd命令进行生成cer证书 生成管理工具 Keytool是一个Java数据证书的管理工具 ,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中 生成命令: keytool -genkey -alias mykey -keyalg RSA -keystore C:/mykeystore.keystore -keysize 1024 -validity 365 命令解析: -genkey:生成一对非对称密钥 -alias: 指定一个别名 -keyalg
Java中的KeyStore和TrustStore以及 keytool 命令的使用
qq_31856061的博客
06-30 7141
当应用需要使用SSL/TLS进行通信时,我们将会使用到密钥库(keystore)和信任库(truststore)。 在 JDK8 之前,这些文件的默认格式为 JKS;从 JDK9 开始,默认格式为PKCS12。KeyStore 存储一个私钥和一个相关的证书,或者相关的证书链(由客户证书和一个或多个证书颁发机构(CA)证书组成)。存储时,使用别名存储。它通常用于表明通信一方的身份。比如服务器使用 HTTPS,在 SSL 握手期间,服务器从密钥库中查找私钥,并将其对应的公钥和证书提供给客户端。一般都是单向认证,
java签名验证原理_JAVA加密算法数字签名实现原理详解
weixin_39566593的博客
02-27 499
所谓数字签名就是信息发送者用其私钥对从所传报文中提取出的特征数据(或称数字指纹)进行 RSA 算法操作,以保证发信人无法抵赖曾发过该信息(即不可抵赖性),同时也确保信息报文在经签名后末被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名进行验证。在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH 函数)生成的,对这些 HASH 函数的特殊要求是:1:接受的输入...
keytool知识
技术在于积累
07-26 373
keytool 将密钥和证书储存在一个所谓的密钥仓库中。缺省的密钥仓库实现将密钥仓库实现为一个文件。 它用口令来保护私钥。   数字签名原理 1:被发送文件采用哈希算法对原始报文进行运算,得到一个固定长度的数字串,称为报文摘要   (Message   Digest),不同的报文所得到的报文摘要各异,但对相同的报文它的报文摘要却是唯一的。 2:发送方生成报文的报文摘要,用自己的私钥对摘要进...
安全网络通信(一)---利用keytool工具生成自签名证书
wkend的博客
04-08 2101
加密通信 基本原理 数据从一段发送到另一端时,发送者首先对数据进行加密,然后再把它发送给接受者。这样,在网络上进行传输的就是经过加密的数据。 由于有人在网络上截获到了这段数据,由于ta没有秘钥,所以ta无法获知数据内容。 接受者接受到加密是数据后,先对数据进行解密,然后再进行处理。 SSL,TSL采用加密技术来实现安全通信,保证通信数据的机密性和完整性,并且保证通信双方可以验证对...
关于JAVA中RSA加签解签,私钥加密公钥解密和公钥加密私钥解密代码步骤
weixin_37332985的博客
09-13 1685
来至  : http://www.zhimengzhe.com/bianchengjiaocheng/Javabiancheng/31584.html 在项目中遇到的问题百度了许久总结出来的 私钥加密公钥解密和公钥加密私钥解密。 一般为了安全采用的是私钥加密,公钥解密(公钥可以用Base64转换后公开) package com.paic.ebank.creditcard.co
关于JAVA中RSA加签解签,私钥加密公钥解密和公钥加密私钥解密代码详解
热门推荐
df331009的博客
04-19 1万+
在项目中遇到的问题百度了许久总结出来的 私钥加密公钥解密和公钥加密私钥解密。 一般为了安全采用的是私钥加密,公钥解密(公钥可以用Base64转换后公开) package com.paic.ebank.creditcard.common.util; import java.security.KeyFactory; import java.security.MessageDigest; im
异步IO框架实现之实时信号(Real-Time Signal)
DreamFreeLancer的专栏
07-27 5654
烽驿2009开源实时通信平台 源码获取:svn checkout http://fy2009.googlecode.com/svn/trunk/ fy2009-read-only  Linux下可伸缩(Scalable)的异步IO机制是什么?熟悉Linux下网络编程的人可能会不加思索地回答:当然是EPOLL。没错,EPOLL是个优秀的异步IO机制(笔者将会在专门的博文中讨论它),但那是
Java自学教程:签名格式详解与环境配置
签名的目的是验证代码的来源,确保其未被篡改,并且允许Java虚拟机(JVM)检查代码的权限。这对于发布可信任的应用和库尤其重要,特别是在网络环境中,因为Java的跨平台特性使得代码可以在各种操作系统上运行。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值