كيفية التحقق إذا وقعت جرة تحتوي على طابع زمني?
-
22-07-2019 - |
سؤال
بعد جرة هو التوقيع -tsa الخيار تستخدم ، كيف يمكنني التحقق من أن الوقت كان ختم ؟ حاولت:
jarsigner -verify -verbose -certs myApp.jar
لكن الانتاج لا تحدد أي شيء عن الطابع الزمني.أنا أسأل لأن حتى لو كان خطأ مطبعي في -tsa مسار عنوان URL ، jarsigner ينجح.هذا هو GlobalSign TSA URL: http://timestamp.globalsign.com/scripts/timstamp.dll والخادم وراء ذلك الظاهر يقبل أي مسار (ie.timestamp.globalsign.com/foobar) ، وذلك في نهاية لست متأكدا حقا جرة بلدي هو الوقت ختمها أو لا.
المحلول
قضيت آخر 2 ساعات أبحث عن هذه المسألة و أخيرا وجدت وسيلة لتحديد ما إذا كان ملف جرة في الواقع لديه معلومات طابع الوقت في كتلة التوقيع الملفات المدرجة.كنت أرى GlobalSign certifcate في hexeditor من /META-INF/FOO.الملف DSA, ولكن لم أجد أي أداة التي سوف طباعة المعلومات التي تحتاج إليها.
يمكنك إعادة تسمية فو.الملف DSA إلى فو.p7b إلى فتحه في ويندوز CertMgr ، ولكنه أيضا لم تظهر أي معلومات طابع الوقت.أنا أيضا لم يتمكن من استخدام بينسل للتحقق من الملف DSA (إنه PKCS#7 تنسيق ملف).
لذا جاء مع التعليمات البرمجية التالية التي سوف تظهر الطابع الزمني SignerInfo وتاريخ الزمني تم إنشاؤه.آمل أن يكون بداية جيدة بالنسبة لك.تحتاج bcprov-jdk16-144.jar, bctsp-jdk16-144.jar و bcmail-jdk16-144.jar في classpath.الحصول عليها من Bouncycastle
package de.mhaller.bouncycastle;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.security.Security;
import java.util.Collection;
import java.util.jar.JarEntry;
import java.util.jar.JarInputStream;
import org.bouncycastle.asn1.DEREncodable;
import org.bouncycastle.asn1.cms.Attribute;
import org.bouncycastle.asn1.cms.AttributeTable;
import org.bouncycastle.asn1.pkcs.PKCSObjectIdentifiers;
import org.bouncycastle.cms.CMSException;
import org.bouncycastle.cms.CMSSignedData;
import org.bouncycastle.cms.SignerId;
import org.bouncycastle.cms.SignerInformation;
import org.bouncycastle.cms.SignerInformationStore;
import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.bouncycastle.tsp.TSPException;
import org.bouncycastle.tsp.TimeStampToken;
import org.bouncycastle.tsp.TimeStampTokenInfo;
public class VerifyTimestampSignature {
private static boolean found;
public static void main(String[] args) throws Exception {
if (args == null || args.length != 1) {
System.out.println("usage: java " + VerifyTimestampSignature.class.getName()
+ " [jar-file|dsa-file]");
return;
}
BouncyCastleProvider provider = new BouncyCastleProvider();
Security.addProvider(provider);
String filename = args[0];
if (filename.toLowerCase().endsWith(".dsa")) {
InputStream dsa = new FileInputStream(filename);
printDSAInfos(filename, dsa);
return;
}
if (filename.toLowerCase().endsWith(".jar")) {
InputStream jar = new FileInputStream(filename);
JarInputStream jarInputStream = new JarInputStream(jar);
JarEntry nextJarEntry;
do {
nextJarEntry = jarInputStream.getNextJarEntry();
if (nextJarEntry == null) {
break;
}
if (nextJarEntry.getName().toLowerCase().endsWith(".dsa")) {
printDSAInfos(nextJarEntry.getName(), jarInputStream);
}
} while (nextJarEntry != null);
}
if (!found) {
System.out.println("No certificate with time stamp information found in " + filename);
} else {
System.out.println("Found at least one time stamp info");
System.out.println("Note: But it was NOT verified for validity!");
}
}
private static void printDSAInfos(String file, InputStream dsa) throws CMSException,
IOException, TSPException {
System.out.println("Retrieving time stamp token from: " + file);
CMSSignedData signature = new CMSSignedData(dsa);
SignerInformationStore store = signature.getSignerInfos();
Collection<?> signers = store.getSigners();
for (Object object : signers) {
SignerInformation signerInform = (SignerInformation) object;
AttributeTable attrs = signerInform.getUnsignedAttributes();
if (attrs == null) {
System.err
.println("Signer Information does not contain any unsigned attributes. A signed jar file with Timestamp information should contain unsigned attributes.");
continue;
}
Attribute attribute = attrs.get(PKCSObjectIdentifiers.id_aa_signatureTimeStampToken);
DEREncodable dob = attribute.getAttrValues().getObjectAt(0);
CMSSignedData signedData = new CMSSignedData(dob.getDERObject().getEncoded());
TimeStampToken tst = new TimeStampToken(signedData);
SignerId signerId = tst.getSID();
System.out.println("Signer: " + signerId.toString());
TimeStampTokenInfo tstInfo = tst.getTimeStampInfo();
System.out.println("Timestamp generated: " + tstInfo.getGenTime());
found = true;
}
}
}
نصائح أخرى
من https://blogs.oracle.com/mullan/entry/how_to_determine_if_a:
يمكنك استخدام jarsigner الأداة المساعدة لتحديد ما إذا وقعت جرة كانت وقتية على النحو التالي:
jarsigner -verify -verbose -certs signed.jar
حيث
signed.jar
هو اسم وقع جرة.إذا كانت وقتية ، فإن الناتج سوف تشمل خطوط التالية تشير إلى الوقت الذي تم التوقيع عليه:
[entry was signed on 8/2/13 3:48 PM]
إذا الجرة ليست وقتية ، فإن الناتج لن تشمل تلك الخطوط.
جافا keytool
يمكن تأكيد ما إذا وقعت جرة وقتية, و يمكن أيضا عرض TSA شهادة:
$ keytool -printcert -jarfile myApp.jar
...
Timestamp:
Owner: CN=GeoTrust Timestamping Signer 1, O=GeoTrust Inc, C=US
Issuer: CN=Thawte Timestamping CA, OU=Thawte Certification, O=Thawte, L=Durbanville, ST=Western Cape, C=ZA
Serial number: 5e8d2daca44665546bb587978191a8bf
Valid from: Wed Oct 31 00:00:00 GMT 2007 until: Mon Oct 30 23:59:59 GMT 2017
Certificate fingerprints:
MD5: E5:30:07:8E:91:8D:A0:6C:18:6D:91:2A:B6:D2:3A:56
SHA1: 22:3C:DA:27:07:96:73:81:6B:60:8A:1B:8C:B0:AB:02:30:10:7F:CC
SHA256: D7:B8:44:BD:39:5A:17:36:02:39:51:C6:4D:6C:81:65:45:93:AD:29:1D:DC:E4:6C:8D:79:B6:65:DF:31:0C:F6
Signature algorithm name: SHA1withRSA
Version: 3
...
mhaller يوفر قدرا كبيرا من التعليمات البرمجية (printDSAInfos).يساعدني كثيرا في عملي.ولكن بضع التغييرات المطلوبة.DEREncodable الدرجة تغيرت الآن إلى ASN1Encodable و getDERObject() طريقة يتم تغيير toASN1Primitive.لا تبدو مثل هذا
ASN1Encodable dob = attribute.getAttrValues().getObjectAt(0);
CMSSignedData signedData = new CMSSignedData(dob.toASN1Primitive().getEncoded());