Java学习笔记之JAAS-Part2

消息摘要是数据块的数字指纹；


SecureRandom类产生的随机数，远比由Random类产生的那些数字安全得多


公共密匙和私有密匙对有2个用途:一个用来加密，一个用来认证；
用于加密：别人发给你的消息用公共密匙加密，那么只有你有私有密匙对这个消息进行解密；
用于认证：你用私有密匙对消息进行签名，其他人只有用你的公有密匙才能解密消息，从而确认消息是你发的消息；


DSA算法的过程有3个步骤：
1. 产生一个密匙对；
2. 给消息签名；
3. 对消息进行验证；


证书的核心内容是：
。被认证身份的名字；
。被认证身份的公共密匙；
。对上列信息用私有密匙进行签名；// 这个私有密匙应该是认证机构的私有密匙，这个签名动作的主体是认证机构
// 由此可见，认证机构负责生成证书，并发放证书给消息接受者
// 所以整个过程有2级认证，证书认证（对应证书的公匙和私匙），信息认证（对应信息的公匙和私匙，信息可以指代码，信息等。。。）


所以证书的意义是；
1. （消息接受者）通过某种途径得到认证机构的公共密匙；
2. 用这个公共密匙对证书进行解密，得到被认证身份的名字和公共密匙；
3. 发送消息者（即上面的被认证身份），用自己的私有密匙对要发送的信息进行签名；签名后发送；
4. 接受消息的人（同时也是拥有证书的人，用第2个步骤中得到的公共密匙对该消息签名验证）


keytool -genkey -keystore alice.store -alias alice
keytool -export -keystore alice.store -alias alice -file alice.cert
keytool -printcert -file alice.cert


keytool 用来管理私钥仓库(keystore)和与之相关的X.509证书链（用以验证与私钥对应的公钥），也可以用来管理其他信任实体。
keytool 将密钥和证书储存在一个所谓的密钥仓库中。缺省的密钥仓库实现将密钥仓库实现为一个文件。它用口令来保护私钥。（口令即密码，可设置）


在密钥仓库中有两种不同类型的项：密钥项- 可信任的证书项 - 


如果私匙是“DSA”类型，那么缺省的签名算法是"SHA1withDSA",
如果私匙是“RSA”类型，那么缺省的签名算法是“MD5withRSA”，
-》从上列描述推测，所谓的签名是先计算数据块的指纹（消息摘要），然后对指纹进行DSA/RSA加密运算


在生成 DSA 密钥对时，密钥大小的范围必须在 512 到 1024 位之间，且必须是 64 的倍数。缺省的密钥大小为 1024 位。


所谓签名，就是用实体的（签名人，在证书中也称为签发人）私钥对某些数据进行计算。私钥用于计算签名


****自签名证书使用流程：消息发送人（同时担任证书签发人）-Alice，消息接受人-Bob
第一阶段：传递可信任证书
Alice：
1. keytool -genkey -keystore alice.store -alias alice // 创建密匙库，并用别名生成密匙对；
2. keytool -export -keystore alice.store -alias alice -file alice.cert // 导出证书文件；自签名证书
Bob:
可选操作：keytool -printcert -file alice.cert // 打印证书；
1. keytool -import -keystore bob.store -alias alice -file alice.cert // 将证书加入Bob的密匙库中
第二阶段：传递信息
Alice：签名文档：
1. jar cvf document.jar document.txt
2. jarsigner -keystore alice.store document.jar alice // 添加签名；
Alice把文档传送给Bob
Bob: 校验文档:
1. jarsigner -verify -keystore bob.store document.jar // jarsigner自动在bob.store中匹配证书并校验