Является ли SignedObject безопасным для доставки клиентским приложениям?

Question

SignedObject  (Serializable  object, PrivateKey  signingKey, Signature  signingEngine)

Безопасно ли сериализовать и доставить этот объект клиентскому приложению?Есть ли способ, которым они могли бы получить PrivateKey через отражение?

Я хочу использовать этот объект для хранения цифровой подписи, а также данных, которые были подписаны.

Answer 1

Сериализованные объекты включают в себя только сам объект и подпись (и алгоритм, используемый для подписи), как отмечено здесь:

http://java.sun.com/j2se/1.4.2/docs/api/serialized-form.html#java.security.SignedObject

В результате это безопасно передавать. Секретный ключ не только не может быть определен только с помощью этого объекта, но также не может быть подделан по пути, поэтому объект останется доверенным (пока клиент его проверяет).

Answer 2

Вы можете найти более подробную информацию о безопасности Java здесь:

http://java.sun.com/javase/6/docs/technotes/guides/security/crypto/CryptoSpec.html