SignedObject (Serializable object, PrivateKey signingKey, Signature signingEngine)
将此对象序列化并传递给客户端应用程序是否安全?有没有办法可以通过反思获得PrivateKey?
我想使用此对象来保存数字签名以及签名的数据。
答案 0 :(得分:1)
序列化对象仅包括对象本身和签名(以及用于签名目的的算法),如下所示:
http://java.sun.com/j2se/1.4.2/docs/api/serialized-form.html#java.security.SignedObject
结果,通过它们是安全的。私钥不仅不能通过该对象单独确定,而且也不能在此过程中被篡改,因此该对象将保持可信(只要客户端验证它)。
答案 1 :(得分:0)
您可以在此处找到有关Java安全性的更多信息:
http://java.sun.com/javase/6/docs/technotes/guides/security/crypto/CryptoSpec.html