Verificar la Firma del Fichero JAR

Verificar la Firmar del Fichero JAR

Ahora que nosotros, actuando como Ruth, hemos importado el certificado de la clave pública de Stan dentro de ruthstore como un certificado verdadero, podemos usar la herramienta jarsigner para verificar la autencidad de la firma del fichero JAR.

Cuando se verifica un fichero JAR, verificamos que la firma es válida y que el fichero JAR no ha sigo modificado. Podemos hacer esto para el fichero sContract.jar mediante el siguiente comando:

jarsigner -verify -verbose -keystore ruthstore sContract.jar

Deberiámos ver algo como esto:

       183 Fri Jul 31 10:49:54 PDT 1998 META-INF/SIGNLEGAL.SF
       1542 Fri Jul 31 10:49:54 PDT 1998 META-INF/SIGNLEGAL.DSA
       0 Fri Jul 31 10:49:18 PDT 1998 META-INF/
smk    1147 Wed Jul 29 16:06:12 PDT 1998 contract

 s = signature was verified 
 m = entry is listed in manifest
 k = at least one certificate was found in keystore
 i = at least one certificate was found in identity scope

jar verified.

Debemos asegurarnos de ejecutar el comando con la opción -verbose para obtener información suficiente para asegurar:

El fichero del contrato está entre los ficheros del fichero JAR que fue firmado y que su firma fue verificada (lo que significa la s), y
La clave pública usada para verificar la firma esta en el keystore especificado y que lo consideramos verdadero (lo que significa la k).

Ozito