Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
1 Java ist auch eine Sprache
2 Sprachbeschreibung
3 Klassen und Objekte
4 Der Umgang mit Zeichenketten
5 Mathematisches
6 Eigene Klassen schreiben
7 Angewandte Objektorientierung
8 Exceptions
9 Die Funktionsbibliothek
10 Threads und nebenläufige Programmierung
11 Raum und Zeit
12 Datenstrukturen und Algorithmen
13 Dateien und Datenströme
14 Die eXtensible Markup Language (XML)
15 Grafische Oberflächen mit Swing
16 Grafikprogrammierung
17 Netzwerkprogrammierung
18 Verteilte Programmierung mit RMI und Web-Services
19 JavaServer Pages und Servlets
20 Applets
21 Midlets und die Java ME
22 Datenbankmanagement mit JDBC
23 Reflection und Annotationen
24 Logging und Monitoring
25 Sicherheitskonzepte
26 Java Native Interface (JNI)
27 Dienstprogramme für die Java-Umgebung
A Die Begleit-DVD
Stichwort

Download:
- ZIP, ca. 12,5 MB
Buch bestellen
Ihre Meinung?
Spacer
<< zurück
Java ist auch eine Insel von Christian Ullenboom
Programmieren mit der Java Standard Edition Version 6
Buch: Java ist auch eine Insel

Java ist auch eine Insel
7., aktualisierte Auflage
geb., mit DVD (November 2007)
1.492 S., 49,90 Euro
Galileo Computing
ISBN 978-3-8362-1146-8
Pfeil 25 Sicherheitskonzepte
Pfeil 25.1 Zentrale Elemente der Java-Sicherheit
Pfeil 25.1.1 Security-API der Java SE
Pfeil 25.1.2 Cryptographic Service Providers
Pfeil 25.2 Der Sandkasten (Sandbox)
Pfeil 25.3 Sicherheitsmanager (Security Manager)
Pfeil 25.3.1 Der Sicherheitsmanager bei Applets
Pfeil 25.3.2 Sicherheitsmanager aktivieren
Pfeil 25.3.3 Wie nutzen die Java-Bibliotheken den Sicherheitsmanager?
Pfeil 25.3.4 Rechte durch Policy-Dateien vergeben
Pfeil 25.3.5 Erstellen von Rechtedateien mit dem grafischen Policy-Tool
Pfeil 25.3.6 Kritik an den Policies
Pfeil 25.4 Signierung
Pfeil 25.4.1 Warum signieren?
Pfeil 25.4.2 Digitale Ausweise und die Zertifizierungsstelle
Pfeil 25.4.3 Mit keytool Schlüssel erzeugen
Pfeil 25.4.4 Signieren mit jarsigner
Pfeil 25.5 Digitale Unterschriften
Pfeil 25.5.1 Die MDx-Reihe
Pfeil 25.5.2 Secure Hash Algorithm (SHA)
Pfeil 25.5.3 Mit der Security-API einen Fingerabdruck berechnen
Pfeil 25.5.4 Die Klasse MessageDigest
Pfeil 25.5.5 Unix-Crypt
Pfeil 25.6 Verschlüsseln von Daten(-strömen)
Pfeil 25.6.1 Den Schlüssel bitte
Pfeil 25.6.2 Verschlüsseln mit Cipher
Pfeil 25.6.3 Verschlüsseln von Datenströmen
Pfeil 25.7 Zum Weiterlesen


Galileo Computing - Zum Seitenanfang

25.4 Signierung Zur nächsten ÜberschriftZur vorigen Überschrift

Wir wollen uns in diesem Abschnitt mit einigen Werkzeugen beschäftigen, die zur Signierung von Applets des Java-SDK in der Standardinstallation angeboten werden. Zum Signieren von Applikationen sowie von Applets und zur Vergabe der Zugriffsrechte und -beschränkungen stellt Sun die Dienstprogramme keytool, jarsigner und policytool bereit.


Galileo Computing - Zum Seitenanfang

25.4.1 Warum signieren? Zur nächsten ÜberschriftZur vorigen Überschrift

Die Sandbox einer Java VM ist sinnvoll, damit Amok laufende Applikationen keine ernsthaften Schäden anrichten können. Es gibt aber genauso gut Szenarien, in denen es nützlich ist, Applets mehr Freiräume einzuräumen. Gründe können sein: Eingebundene native Bibliotheken sollen eine Authentifizierung über das Ohrläppchen eines Anwenders vornehmen oder auf die Festplatten zum Caching zurückgreifen können.


Galileo Computing - Zum Seitenanfang

25.4.2 Digitale Ausweise und die Zertifizierungsstelle Zur nächsten ÜberschriftZur vorigen Überschrift

Wenn nun das Java-Programm diesen Zugriff eigentlich nicht machen darf, aber möchte, was ist die Lösung? Die Antwort ist, Programme mit einem Autor zu verbinden und die Programme dann auszuführen, wenn wir dem Autor vertrauen. Zentral bei diesem Spiel ist die sichere Identifizierung des Autors. Das übernimmt eine Zertifizierungsstelle (Certificate Authority, CA), die digitale Signaturen ausstellt, um eine Person oder Organisation zu identifizieren. Ein Programmstück wird dann mit einer Signatur verbunden, so dass immer der Autor bekannt ist, wenn kritische Programmstellen Unheil anrichten und ich dem Autor so richtig meine Meinung sagen möchte.

Die Zertifizierungsstelle ist ein kleiner Schwachpunkt in diesem Szenario, denn erst einmal hindert uns keiner daran, selbst die Zertifizierungsstelle zu spielen und das Zertifikat auf Micky Mouse auszustellen – das machen wir auch gleich. Dem Anwender obliegt die Verantwortung, nur Zertifikate von wirklich autorisierten Stellen anzunehmen. Die Bundesnetzagentur akkreditiert Zertifizierungsstellen. Hier gibt es einige bekannte CAs wie VeriSign, CAcert oder thawte, weitere sind unter http://www.pki-page.org/ vermerkt.

Das Zertifikat selbst verbindet die Person mit einem kryptografischen Schlüssel und weiteren Informationen wie Seriennummer, Aussteller und Lebensdauer. Dem Schlüssel kommt die größte Bedeutung zu, denn damit wird das Java-Archiv signiert. Der wichtigste Standard für Zertifikate ist der ITU-T-Standard X.509. Die Zertifikate sind in ASN.1 (Abstract Syntax Notation One) kodiert.


Galileo Computing - Zum Seitenanfang

25.4.3 Mit keytool Schlüssel erzeugen Zur nächsten ÜberschriftZur vorigen Überschrift

Das Programm keytool erzeugt öffentliche und private Schlüssel und legt sie in einer passwortgeschützten und verschlüsselten Datei ab. Die Datei hat standardmäßig den Namen .keystore und befindet sich im Benutzerverzeichnis des Anwenders. Mit dem Programm keytool lassen sich neben der Schlüsselgenerierung auch Zertifikate importieren, Zertifikatsanforderungen ausstellen und Schlüssel als vertrauenswürdig festlegen.

Möchten wir einen Schlüssel erstellen, rufen wir das Programm keytool mit der Option -genkey auf. Daneben gibt die Option -alias einen Namen für den Schlüsselinhaber an:

$ keytool -genkey -alias CUllenboom

Anschließend fragt keytool nach dem Passwort des Schlüsselspeichers und erfragt weitere Angaben zum Inhaber. Mit diesen Informationen erzeugt das Programm ein Schlüsselpaar mit einem selbstzertifizierenden Zertifikat. Bei diesem speziellen Zertifikat sind Aussteller und Inhaber identisch.


Tabelle 25.1 Optionen von keytool
Option Bedeutung

-genkey

Erzeugung eines Schlüsselpaars

-import

Importieren eines Zertifikats

-selfcert

Erstellung eines selbstinitiierten Zertifikats

-certreq

Export einer Zertifikatsanforderung; sie kann als Datei an eine CA geschickt werden.

-export

Export eines Zertifikats. Dieses kann dann von einem anderen Benutzer importiert und als vertrauenswürdig deklariert werden.

-list

Listet alle Zertifikate und Schlüssel auf.

-delete

Entfernt ein Schlüsselpaar.

-help

Zeigt eine kurze Hilfe an.

Die Angabe der Optionen ist immer dann sinnvoll, wenn die Standardeinstellungen unpassend sind. Über die Optionen lassen sich die Algorithmen zur Verschlüsselung und Schlüsselgenerierung ebenso angeben wie eine Pfadangabe des Schlüsselspeichers oder die Gültigkeitsdauer.


Galileo Computing - Zum Seitenanfang

25.4.4 Signieren mit jarsigner topZur vorigen Überschrift

Das Dienstprogramm jarsigner signiert und verifiziert Jar-Archive. Dazu erstellt jarsigner zunächst einen Hashcode des Archivs und verschlüsselt ihn anschließend mit dem privaten Schlüssel des Nutzers. Das Zertifikat und der öffentliche Schlüssel werden dem Archiv beigelegt.


Beispiel Beispiel Signiere das Archiv archiv.jar mit dem Schlüsselspeicher (Keystore) von CUllenboom.

$ jarsigner archiv.jar CUllenboom

Die Anwendung mit jarsigner fügt dem Archiv zwei weitere Dateien hinzu: eine Signatur-Datei mit der Endung .sf und eine Signaturblock-Datei mit der Endung .dsa. Die Signatur-Datei enthält eine Liste aller Dateien im Archiv und speichert zudem den Hash-Wert zu einer mit aufgeführten Hash-Funktion. Diese Signatur-Datei wird dann mit dem privaten Schlüssel des Signierers signiert und zusammen mit dem verschlüsselten Zertifikat des Signierers in der Signaturblock-Datei gespeichert.


Beispiel Beispiel Wir möchten wissen, ob ein Archiv verifiziert ist:

$ jarsigner -verify Archiv


Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück


Copyright © Galileo Press 2008
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de