実際にキーを使用せずに、SHA1-Digestをjava Manifestファイルに作成することは可能ですか？

Question

現在、jarsignerを使用してjarファイルに署名しています。特定のクラスのSHA1-Digest値を表示して、リリース間でコードが変更されていないことを外部監査人に証明します。

ダイジェスト情報を取得するためにMETA-INF/xxx.SFファイルのみを使用し、META-INF/xxx.DSAシグネチャブロックファイルは使用しません。

私たちのコードでダイジェスト計算が必要なだけなので、実際にキーを使わずに.SFファイルをいくつかのJavaツールで生成できるかどうか疑問に思っていました。

私はhttp://docs.oracle.com/javase/6/docs/technotes/tools/windows/jarsigner.htmlを読んでいますが、キーが必須であるようです。

Answer 1

これが可能であるはずです。 MANIFEST.MFファイルには、それぞれのクラスファイルのBase64でエンコードされたSHA-1が含まれています。あなたの文書から

：

In the manifest file, the SHA digest value for each source file is the 
digest (hash) of the binary data in the source file. In the .SF file, 
on the other hand, the digest value for a given source file is the 
hash of the three lines in the manifest file for the source file. 

それはMANIFEST.MFに表示される、それはSFに表示されるので、SHA-1を計算し、すべてのクラスファイルを反復処理、フォーマットは、そのフォーマットをハッシュすることをファイル。

計算に関連するキーはありません。

例：「jce1_2_2.jar」（または適切に署名したもの）を考慮してください。これは、 "KeyAgreement.class" のBase64で（SHA1-1）（パスは関係しない）である

Name: javax/crypto/KeyAgreement.class 
SHA1-Digest: c2p0JimzpV0dG+NChGLl5cI7MuY= 
<empty line> 

形態の

1. MANIFEST.MFエントリを含んでいます。 3番目の空行に注意してください。行末はCRLF（Windows）です。

2. ファイルのハッシュないMETA-INF/4JCEJARS.SFエントリ

   Name: javax/crypto/KeyAgreement.class 
   SHA1-Digest: whGBXE+AvYO6wAoVCdnocOPIrsE= 
   

が、上記のこれらの3本のライン。

Answer 2

署名検証に失敗します...

なぜですか？

JARファイルの検証 - > .SFファイル自体の署名を確認します。

つまり、各署名ブロック（.DSA）ファイルに格納された署名が、証明書（または証明書チェーン）も.DSAファイルにも含まれる公開鍵に対応する秘密鍵を使用して実際に生成されたことを確認します。また、シグネチャが対応するシグネチャ（.SF）ファイルの有効なシグネチャであることを確認し、.SFファイルが改ざんされていないことを確認します。詳細 http://docs.oracle.com/javase/7/docs/technotes/tools/windows/jarsigner.html