Wie Java-Datei selbst signieren?

Ich habe eine Anwendung in Java geschrieben, der ich einen Auto-Updater hinzufügen möchte. Der Auto-Updater fragt zunächst über HTTP ab, ob eine neue Version verfügbar ist. Wenn das der Fall ist, wird die neue Datei heruntergeladen und dann wird die alte mit der neuen überschrieben. Soweit funktioniert auch alles. Um den Prozess sicherer zu machen, soll die Datei nach dem Download überprüft werden, dass nur eine von mir zertifizierte Datei akzeptiert wird. Das schützt auch vor unvollständigen oder beschädigten Dateien.

Wir kann ich das mit Java signieren und die Signatur überprüfen? Das Zertifikat kann auch von mir selber erstellt sein, der Public-Key gehardcoded.

3 Antworten

SMTPOverflow

20.09.2018, 19:22

Signatur: Verschlüsseln und Entschlüsseln mit ein und demselben Schlüssel (Symmetrische Verschlüsselung)

Auf beschädigte Dateien überprüfen: Checksumme

erfddf33232

Fragesteller

20.09.2018, 19:52

Bei einer symmetrischen Verschlüsselung müsste der Schlüssel irgendwo im Klartext lesbar sein, was nicht sein soll.

erfddf33232

Fragesteller

20.09.2018, 19:59

Die Datei soll eine Signatur haben, die aus dem Private Key und der Checksumme generiert wurde und mit der Checksumme und dem Public Key überprüfbar ist.

Franky12345678

20.09.2018, 20:16

Lieber nicht^^.

Dann popelt sich der Hacker sich den Key aus einem Client raus, packt ihn auf seinen Server und klemmt sich zwischen :-D.

Franky12345678

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, Technologie

20.09.2018, 19:30

Eine einfache Prüfsumme und Download per HTTPS (vielleicht selbstsigniertes mit in der App hinterlegtem Zertifikat) müsste doch reichen?

Was willst du da "sicherer" machen?

Wenn die Datei manipuliert wird, stimmt die Prüfsumme nicht mehr. Das hat sich seit Jahren bewährt, um manipulierte Dateien zu erkennen.

Das nützt dir sowieso alles nichts, wenn der böse Angreifer den Client manipuliert und deine Prüfroutinen einfach deaktiviert/verändert und die Update-Download-URL innerhalb der App auf einen "bösen" Download umändert.

erfddf33232

Fragesteller

20.09.2018, 19:56

Wenn der Client direkt manipuliert wird, kann man natürlich nichts machen. Aber bei einem Man-in-the-Middle-Angriff, der die URL umleitet, würde eine Signatur schon Sinn machen. Es ist ja irgendwie möglich, eine Signatur zu generieren, der auf der Prüfsumme der neuen Datei und dem Private Key aufbaut und mit der Prüfsumme der Datei und dem Public Key überprüft werden kann.

Franky12345678

20.09.2018, 20:06

@erfddf33232

Ja, das wäre doch HTTPS. Der "man in the middle" braucht den privaten Schlüssel des tatsächlichen Servers, um sich als ihn authentifizieren zu können. Die Signatur wäre dann nicht korrekt und deine App bricht den Vorgang (hoffentlich) ab.

Da ist sozusagen die von dir gewünschte Funktionalität schon servierfertig "drin". Sogar nicht nur die Signatur, sondern sogar komplett verschlüsselt :-).

Musst halt noch ne Prüfsumme implementieren (ohne Signatur, weil der Kommunikationsweg bereits gesichert ist).

Kannst an der Stelle ein selbstsigniertes Zertifikat benutzen.

Franky12345678

20.09.2018, 20:10

@erfddf33232

Nochwas: Sowas sicherheitskritisches musst du nicht (und solltest du auch nicht) selber als "square wheel" neu implementieren.

Einfach die URL deines API-Zugriffes von "http://...." auf "https://..." ändern und fertig. Ggf. das selbst-signierte Zertifikat einbinden.

erfddf33232

Fragesteller

20.09.2018, 21:19

@Franky12345678

Https würde ich sowieso verwenden, mich interessiert aber auch das Prinzip, wie man sowas machen kann. Natürlich würde ich auch einen etablierten Algorithmus verwenden, dann kann man bei der Implementierung selber glaube ich auch nicht mehr so viel falsch machen.

Franky12345678

20.09.2018, 21:23

@erfddf33232

Die Funktionsweise von HTTPS/SSL steht im Internet beschrieben.

Viel Spaß.

Aber produktiv würde ich den Eigenbau nicht einsetzen. Jeder Bug ist eine kritische Sicherheitslücke und ab einer gewissen Menge Codezeilen nicht mehr zu 100% zu verhindern.

Es gab die letzten Jahre genug gefährliche Lücken bei SSL.

erfddf33232

Fragesteller

20.09.2018, 21:49

@Franky12345678

Hä? Ich möchte es ausprobieren, zusätzlich zu HTTPS. Und ich möchte dabei keinen neuen Standard erfinden, sondern z. B. RSA.

Franky12345678

20.09.2018, 21:49

@erfddf33232

Naja... mach.... es ist dein System :-).

FireEraser

21.09.2018, 00:21

Eine Signatur macht man mit einer asymmetrischen Verschlüsselung. Es wird mit dem privaten Schlüssel verschlüsselt, kann es dann mit dem öffentlichen Schlüssel entschlüsselt werden, ist die richtige Herkunft sichergestellt. Um Aufwand zu sparen, wird in der Regel nur ein Hashwert signiert.

Java liefert mit der java.security Bibliothek alle Mittel, die man dafür benötigt. Schlüsselpaar generieren, signieren und verifizieren ist da alles schon implementiert. Auch die Verwendung des Hashwertes kann einfach durch die Auswahl des Signaturalgorithmus konfiguriert werden.

Aber wie hier schon erklärt wurde, ist das ziemlich sinnlos, da HTTPS im Prinzip schon das Gleiche macht. Dazu kommen noch andere Vorteile, zum Beispiel muss man keinen Schlüssel mehr in der Anwendung hardcoden und kann diesen dann problemlos öfters wechseln.

Ähnliche Fragen

jeden Tag taucht "Java Updater" auf

Guten Tag. Jeden Tag wenn ich meinen Rechner einschalte, erscheint die Aufforderung, dass ich einen "Java Auto Updater" zulassen soll. Auch wenn ich meinen Rechner, einen ziemlich neuen Rechner mit Win 7, täglich mehrmals einschalte, kommt trotzdem die Aufforderung den Updater zuzulassen. Ist das normal? Grüße

...zur Frage

Textdatei auslesen -> In Excel speichern (Java POI)

Hey Leute,

ich schilder euch kurz mein Problem. Ich habe eine Textdatei mit über 850.000 Zeilen (nur Zahlen). Gibt es eine elegante Variante mittels der Java POI z.B. 700 Zeilen auszulesen und diese dann in eine Excel-Tabelle zu schreiben, danach wieder 700 Zeilen auslesen und in die nächste Spalte der Excel-Tabelle schreiben.

Mein Problem bis hier ist nicht das Auslesen von immer 700 Zeilen aus der Textdatei, sondern mehr das schreiben in die Excel-Datei. Das Auslesen läuft bisher über eine For-Schleife bis zum Ende der Datei - aber egal wie und was ich versuche.. über den FileOutputStream wird die Excel-Datei jedes mal neu angelegt und überschrieben. Somit stehen am Ende des Programmablaufs immer nur die letzten 700 Zeilen der Txt-Datei in meiner Excel-Tabelle (genauer in Spalte A)..

Dabei will ich einfach nur 700 Zeilen kopieren, dieses in Spalte A schreiben, wieder 700 Zeilen kopieren und in Spalte B schreiben (Eigentlich genauso wie die Funktion .append() - nur scheint es die nicht in der Java POI zu geben..) ohne das die alte Excel-Tabelle jedes mal überschrieben wird.

Vielleicht hatte ja jemand ein ähnliches Problem und eine Lösung gefunden? Sonst bleibt mir nur das händiche kopieren der ganzen Zeilen in die jeweilige Spalte und das scheint mir eine Mammutt-Aufgabe. Da es nicht nur eine Text-Datei gibt sondern 56 und alle haben ca. die selbe Anzahl an Zeilen...

...zur Frage

Window7: Welche Elemente bei Autostart löschen?

Moin,

Ich möchte den Start von Windows 7 schneller machen. Dazu muss ich u. A. Autostart Elemente entfernen.

Momentan sind diese ganzen Sachen mit einem Haken versehen. Welche von denen kann ich löschen=

Danke schon mal...

-Realtek HD Audio-Manager -Intel(R) Common User Interface -Adobe Updater Startup Utility -LightScribe -Google Update -MobileDocuments -Akamai NetSession Client -IAStorIcon -Default Manager -Easybits Recovera -Antivir Desktop -MobileMe -Java (TM) Platform SE Auto Updater 2.0 -NielsenOnline -QuickTime -Apple Push -Adobe Reader and Acrobat Manager -iTunes -Dropbox (brauche ich) -HPWirelessAssistant -Synaptics Pointing Device Driver

...zur Frage

Java: In eine HTML-Datei schreiben?

Ich möchte mit Java eine HTML-Datei schreiben.

Also, wenn man mein Programm öffnet, wird angezeigt: "Wie soll der Titel für die Seite sein?". Dann schreibt man einen Titel. Jetzt sollte in eine HTML-Datei geschrieben worden sein:

<title>derTitel</titel>

Aber in der Datei steht trotzdem nichts drin. Im Internet habe ich herausgefunden, dass es mit writer.newLine(); und writer.write und so geht.

Die betroffene Stelle:

BufferedWriter writer = new BufferedWriter(new FileWriter(webn, false)); //webn ist der String für den Dateiname.
command = zeile.replaceAll(".\((.)\).", "$1" + ".html");

try {
  writer.write("<title>" + command + "</title>");
  writer.newLine(); //im String command ist der Titel
} //Titel enthalten.
catch(IOException ioe) {
  System.err.println(ioe);
}

zeile = br.readLine();

Und das ist die Stelle, an der der gewählte Dateiname festgelegt wird (klappt auch nicht; falls diese Datei schon existiert, wird sie überschrieben):

webn = zeile.replaceAll(".\((.)\).", "$1" + ".html");
File web = new File(webn);
BufferedWriter writer = new BufferedWriter(new FileWriter(webn, false));

try {
  writer.write("<!DOCTYPE html>");
  writer.newLine();
}
catch(IOException ioe) {
  System.err.println(ioe);
}

zeile = br.readLine();

...zur Frage

Eine Jar-Datei in der Eingabeaufforderung erstellen?

Ich lerne gerade Java mit einem Buch und bin gerade dabei, eine Jar-Datei über die Eingabeaufforderung zu erstellen. Doch da gibt es etwas das ich nicht verstehe und ich hoffe, dass ihr mir es erklären könnt.

Das ist die Klasse, die ich in eine Jar-Datei umwandeln soll:

package de.galileocomputing.schroedinger.java.kapitel13;

import java.io.IOException;

public class HalloSchroedinger {

    public static void main(String[] args) throws IOException{
        System.out.println("Hallo Schrödinger");
    }

}

Das kompilieren bekomme ich ohne Probleme in der cmd hin:

javac HalloSchroedinger.java

Auch das erstmalige Erstellen einer Jar-Datei:

jar cf SagHallo.jar C:\Users\...\Documents\Java\SchrödingerProgrammiertJava\src\de\galileocomputing\schroedinger\java\kapitel13\HalloSchroedinger.java

Beim Hinzufügen der auszuführenden Main-Methode klappt es aber nicht mehr... In meinem Buch sieht der Text so aus:

jar ufe SagHallo.jar de.galileocomputing.schroedinger.java.kapitel13.HalloSchroedinger de\galileocomputing\schroedinger\java\kapitel13\HalloSchroedinger.class

Es ist ja eigentlich fast genau so, wie beim einfachen Erstellen der Jar-Datei. Doch der Teil nach dem "SagHallo.jar" bis zum Anfang des Pfades gibt mit Rätsel auf. Was ist das? Wie lautet der bei mir?

Das habe ich schon probiert...

C:.Users.'''.Documents.Java.SchrödingerProgrammiertJava.src.de.galileocomputing.schroedinger.java.kapitel13.HalloSchroedinger

...dann wird aber eine "ClassNotFoundException" geworfen.

Ich hoffe ihr könnt mir helfen. Vielen Dank im voraus.

(Ich weiß übrigens, dass man es normalerweise nicht über die CMD macht.)

...zur Frage

.jar-Datei in .exe-Datei konvertieren?

Hallo,

also prinzipiell habe ich das so verstanden, dass man mit einer .bat-Datei die .jar-Datei aufruft und das ganze in einen Bat-to-Exe-Converter packt. Das habe ich auch gemacht, allerdings gibt es ein Problem: Ich möchte gerne die Option "Beim beenden löschen" benutzen, da die erzeugte Jar-Datei verschwinden soll, sobald man fertig ist. Nur wenn ich das auswähle, bekomme ich beim ausführen der Exe die Fehlermeldung: "Error: Unable to access jarfile Datei.jar". Das klingt auch logisch, vermutlich weil er nur dieses Programm aufruft und so schnell dann fertig ist, dass er sie bereits wieder gelöscht hat. Wie kann ich so etwas umgehen? Hatte zum Beispiel daran gedacht, den PC noch nebenbei bis 1000 oder so hochzählen zu lassen, damit er nicht direkt beendet.

Wenn ich das ganze mit der Option "Nicht löschen" mache, läuft auch alles super, allerdings wird dann jedes mal beim ausführen die Jar-Datei neu ausgepackt.

Ach ja und auf die Frage, warum ich eine Exe-Datei haben möchte: Ich hätte gerne bei der Datei ein Icon und Exe ist doch auch unabhängiger von Java.

Vielen Dank für gute Vorschläge! :)

...zur Frage

Wegen Winrar kann ich keine jar datei öffnen

Seit dem ich Winrar habe hab ich ausversehen ein häckchen bei jar dateien öffnen gemacht seit dem öffnet er es mit winrar aber dann hab ich es umgestellt das es sich mit java web start launcher angehen soll set dem steht dort immer das die anwendung nicht mehr gestarten werden kann und ich kann nicht auf das normale java umstellen wieso ?

...zur Frage

Java Programm zeigt beim starten nur leeres Fenster?

Hallo!

Ich habe mich seit kurzen an die Java Programmierung gewagt, stehe jetzt aber vor dem Problem, dass, wenn ich mein Programm öffne (Ob in Eclipse oder als Jar Datei macht keinen Unterschied!), sehe ich nur eine leeres Fenster. Ich muss dann das Fenster maximieren und wieder minimieren, damit ich alles sehen kann. (Siehe Anhang)

Hoffe jemand kann mir weiterhelfen :)

Mfg SuperSpace

...zur Frage

JAVA: .jar-Dateien automatisch öffnen im CMD-Fenster

Hallo!

Wie kann ich eine JAR-Datei öffnen, in der die Dateien keine eigene Benutzeroberfläche haben (also dass beim Öffnen der JAR ein CMD-Fenster mit der Ausgabe erscheint)?

Ich will das nicht mit einer BAT lösen, wie hier...

@echo off
java -jar Datei.jar
pause

... sondern wirklich nur mit einem JAR-Archiv.

Danke für eure Antworten im Voraus! :)

...zur Frage

Eclipse erkennt eingefügte Jar Dateien nicht?

Hallo, ich muss für ein Projekt im Studium Eclipse mit LWJGL verbinden. Dazu benötigt man ja die Dateien "lwjgl.jar" und lwjgl_util.jar".Wenn ich diese jedoch in meinem Projekt einfüge, erscheinen vor den Dateien nur Blattsymbole und es lässt sich auch nicht mit ihnen arbeiten. Hab schon mehrere Möglichkeiten probiert um dieses Problem zu beheben aber leider funktioniert nichts. :(

...zur Frage

Problem beim Exportieren mit Eclipse

Hallo.

Ich habe ein Problem mit Eclipse bzw. Java. Ich habe ein einfaches Programm mit einer main-Mathode geschrieben. Zum Beispiel:

public class Helloworld {

    public static void main(String[] args) {

          System.out.println("Hallo");

    }

}

Dieses Programm lässt sich anstandslos kompilieren. Dieses möchte ich nun aber in eine ausführbare *.jar Datei umwandeln. Ich mache das über Eclipse - Export-Runnable JAR file. Dort wähle ich dann die Klasse und den Namen (zB. fehler.jar) aus und drücke auf finish.

Die jar-Datei wird ohne Probleme erzeugt. Wenn ich die jar-Datei nun aber mit Doppelklick ausführen möchte, passiert gar nichts. Öffne ich sie über die Eingabeaufforderung, erscheint die Meldung

"Fehler: Hauptklasse fehler.jar konnte nicht gefunden oder geladen werden"

Ich habe keine Ahnung, was ich falsch gemacht habe und bin für jede Hilfe dankbar.

...zur Frage

server jar datei öffnet sich nicht?

ich habe versucht einen eigenen Minecraft Server auf meinem PC zu erstellen 1.16. Nach dem installieren der server.jar Datei und nach dem installieren von Java habe ich versucht wie im Youtube tutorial beschrieben die Datei zu öffnen mit einem Doppelklick. Es ist aber nichts passiert nach mehrmaligen Versuchen öffnet sich ein Ordnersystem von winrar aber es passiert nicht das richtige wie im Video. Auch öffnen mit Java SE funktioniert nicht. Kann mir jemand helfen??? Das Youtube Tutorial vom Server ist hier: https://www.youtube.com/watch?v=JpTujA_FmkA&t=312s

...zur Frage

Java Virtual Machine (JVM) Version zu alt?

Guten Tag!
Ich habe gerade ein Konsolenprogramm programmiert, also ein Programm welches man mit der Konsole steuert. Ich habe dieses Programm als Jar File Exportiert, nur leider ist meine Java Virtual Machine Version zu alt. Wie kann ich eine neuere Installieren (Ich brauche mindestens die Version 57.0) und so installieren, dass die cmd von Windows diese auch erkennt und nutzt um die Datei auszuführen?

Ich würde mich über eine ausführliche und anfängerfreundliche Antwort freuen.

MfG

Tomic

...zur Frage

Batch: .jar als Unterprogramm starten, aber nicht auf Beendigung warten?

Ich möchte mit Batch eine score.jar starten, die parallel zur Batch (und anderen jars) laufen soll (->Batch soll nicht auf Beendigung warten). Wenn die Batch aber beendet wird, soll sich die score.jar auch schließen.

Start mit java.exe --> schließt sich wie gewünscht, batch wird aber nicht fortgesetzt

Start mit start "..." --> Batch wird fortgesetzt, aber die jar nicht beendet.

Gibt es da noch eine 3.Möglichkeit ... vielleicht auch mit vbs?

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen