如何保护密钥库免受未经授权的访问
How to protect keystore from unauthorized access
我正在研究 TLS 实现,发现您可以使用任何密钥库或信任库,而无需在 java 客户端或服务器中提供任何密码。
它如何防止服务器身份盗窃,有人可以从服务器复制密钥库并将其用作他们的身份。如果使用密码,那么我们可能在密钥库上有一定程度的安全性,以防止未经授权的访问。
详细说明如下link:
Do you not need a password to access a truststore (made with the java keytool)?
一般来说,您必须妥善保管您的证书。可以轻松复制文件(和密码)。您可以使用加密硬件来存储证书并执行签名,避免任何人窃取它们。
对于 SSL 证书,请注意它们已颁发给域名或 IP 地址。所以任何窃取您证书的人都不能使用它,因为他没有您的 DNS。如果他尝试使用来自其他域的证书,浏览器将拒绝连接
我得到了这个答案。
基本上,您无需密码即可访问密钥库或信任库,但这仅适用于访问证书。
如果你想在没有密码的情况下从密钥库访问私钥,你不能这样做,因为私钥以加密格式保存在密钥库中,密钥库密码是密钥。
这就是私钥在密钥库文件中保密的方式。
I was working on TLS implementations and found out that you can use any keystore or truststore without providing any password in java client or server.
这是不正确的。 Java KeyStore 可以包含三种类型的条目:受信任的;私钥;和密钥条目。
可信条目的完整性受密钥库密码保护。但是,可以在不检查密钥库完整性的情况下加载密钥库和使用可信条目。这样做会产生漏洞。
私钥和密钥条目的机密性受基于密码的加密保护。与可信条目不同,没有密码就无法访问这些机密条目。您可以通过尝试在没有密码或错误密码的情况下恢复私钥来亲自查看。
我正在研究 TLS 实现,发现您可以使用任何密钥库或信任库,而无需在 java 客户端或服务器中提供任何密码。 它如何防止服务器身份盗窃,有人可以从服务器复制密钥库并将其用作他们的身份。如果使用密码,那么我们可能在密钥库上有一定程度的安全性,以防止未经授权的访问。
详细说明如下link:
Do you not need a password to access a truststore (made with the java keytool)?
一般来说,您必须妥善保管您的证书。可以轻松复制文件(和密码)。您可以使用加密硬件来存储证书并执行签名,避免任何人窃取它们。
对于 SSL 证书,请注意它们已颁发给域名或 IP 地址。所以任何窃取您证书的人都不能使用它,因为他没有您的 DNS。如果他尝试使用来自其他域的证书,浏览器将拒绝连接
我得到了这个答案。 基本上,您无需密码即可访问密钥库或信任库,但这仅适用于访问证书。 如果你想在没有密码的情况下从密钥库访问私钥,你不能这样做,因为私钥以加密格式保存在密钥库中,密钥库密码是密钥。
这就是私钥在密钥库文件中保密的方式。
I was working on TLS implementations and found out that you can use any keystore or truststore without providing any password in java client or server.
这是不正确的。 Java KeyStore 可以包含三种类型的条目:受信任的;私钥;和密钥条目。
可信条目的完整性受密钥库密码保护。但是,可以在不检查密钥库完整性的情况下加载密钥库和使用可信条目。这样做会产生漏洞。
私钥和密钥条目的机密性受基于密码的加密保护。与可信条目不同,没有密码就无法访问这些机密条目。您可以通过尝试在没有密码或错误密码的情况下恢复私钥来亲自查看。