java - 签名 jar 篡改验证

Question

我有一个网络服务器，将 OSGI 包作为自签名 jar 文件提供服务。这些是使用 OSGI API 下载并安装在我的设备上的。我已经在 knopflerfish OSGI 中启用了安全性，并使用我的公钥将其指向 keystore 。我想验证我下载的代码不会在中间人攻击或其他攻击中被篡改。

为了测试这一点，我尝试稍微更改并重新编译我之前签名和验证的包之一，使用 7zip 解压旧的签名 jar 和新编译的 jar，并复制 META-INF 文件夹的内容，覆盖尚未签名的 MANIFEST.MF 并提供 .SF 和 .RSA 文件。 当我尝试下载并安装这个 jar 文件时，我确实遇到了错误:

[stderr] org.osgi.framework.BundleException: Failed to install bundle: java.io.IOException: MANIFEST.MF must be first in archive when using signatures.
[stderr]        at org.knopflerfish.framework.Bundles.install0(Bundles.java:178)
[stderr]        at org.knopflerfish.framework.SecurePermissionOps$14.run(SecurePermissionOps.java:727)
[stderr]        at org.knopflerfish.framework.SecurePermissionOps$14.run(SecurePermissionOps.java:723)
[stderr]        at java.security.AccessController.doPrivileged(Native Method)
[stderr]        at org.knopflerfish.framework.SecurePermissionOps.callInstall0(SecurePermissionOps.java:722)
[stderr]        at org.knopflerfish.framework.Bundles.install(Bundles.java:118)
[stderr]        at org.knopflerfish.framework.BundleContextImpl.installBundle(BundleContextImpl.java:109)
[stderr]        at no.aventi.sam.Activator.handleEvent(Activator.java:190)
[stderr]        at org.knopflerfish.bundle.event.TrackedEventHandler.handleEventSubjectToFilter(TrackedEventHandler.java:71)
[stderr]        at org.knopflerfish.bundle.event.InternalAdminEvent.deliverToHandles(InternalAdminEvent.java:153)
[stderr]        at org.knopflerfish.bundle.event.InternalAdminEvent.deliver(InternalAdminEvent.java:114)
[stderr]        at org.knopflerfish.bundle.event.QueueHandler.run(QueueHandler.java:120)
[stderr] Caused by: java.io.IOException: MANIFEST.MF must be first in archive when using signatures.
[stderr]        at org.knopflerfish.framework.bundlestorage.file.Archive.downloadArchive(Archive.java:271)
[stderr]        at org.knopflerfish.framework.bundlestorage.file.BundleArchiveImpl.<init>(BundleArchiveImpl.java:133)

[stderr]        at org.knopflerfish.framework.bundlestorage.file.BundleStorageImpl.insertBundleJar(BundleStorageImpl.java:219)
[stderr]        at org.knopflerfish.framework.Bundles.install0(Bundles.java:161)
[stderr]        ... 11 more

我还尝试了其他方法，将新的 .class 文件复制到正确签名的 jar 中，但得到了相同的错误。

我不确定安全方案的实际验证会产生什么输出。我得到的错误是否意味着 java 检测到错误的签名并因此拒绝它？或者这只是意味着当我手动写入 jar 文件时 7zip 没有保持结构完整，比我更好的黑客仍然可以轻松篡改我的 jar 文件？

jarsigner -verify 被篡改的 jar 文件给了我 java.lang.SecurityException:SHA-256 摘要错误 这更有意义，如果我“正确”地篡改 jar ，我可以期待这种情况吗？

Answer 1

该异常告诉您 jar 文件无效。所以它甚至没有尝试验证签名。

7zip 不适合创建/编辑 jar 文件。您应该使用 java jar 工具。请参阅https://www.webucator.com/how-to/how-create-jar-file-java.cfm