JKS se puede leer sin proporcionar una contraseña

Navega tus respuestas
0

Estoy en esa etapa del desarrollo de aplicaciones en el que me veo obligado a juguetear con openssl y keytool nuevamente. Me sorprendió descubrir que podía enumerar y exportar certificados desde un almacén de claves JKS sin ingresar una contraseña (aunque se imprimió una pequeña advertencia ingeniosa). Por lo tanto, asumo que el único propósito de la contraseña de la tienda es evitar la adición o el reemplazo ilícitos de certificados y claves. La contraseña en el par de llaves es lo que realmente protege la clave privada. ¿Son estas suposiciones correctas?

    
pregunta laphroaig 28.01.2015 - 01:45
fuente

1 respuesta

1

La contraseña en el archivo JKS se utiliza para proteger el archivo de clave privada y también para mantener la integridad del archivo. Cuando abra el archivo sin contraseña, podrá exportar todos los certificados, pero no la clave, y emitirá una advertencia como "no se puede verificar la integridad". Y uno más para ser claro, ya que el certificado contiene una clave pública a la que se puede acceder globalmente y, por lo tanto, es necesario protegerla con una contraseña.

    
respondido por el user45475 28.01.2015 - 03:21
fuente

Lea otras preguntas en las etiquetas

¿Cuándo configurar preguntas de seguridad para una aplicación web? Esquema de firmas usando RSA y SHA512