Java einfach erklärt

Plain Java

Signieren von Java-JARs und die Ausführung mit Signaturchecks

Das Signieren von Java-JAR-Dateien ist ein wichtiger Sicherheitsmechanismus, der sicherstellt, dass der Code von einer vertrauenswürdigen Quelle stammt und während der Übertragung nicht manipuliert wurde. Diese Technik ist essenziell, wenn Java-Anwendungen in sicherheitskritischen Umgebungen ausgeführt werden sollen.

Grundlagen des Signierens

Eine JAR-Datei („Java Archive“) ist ein komprimiertes Archiv, das Java-Klassen, Metadaten und andere Ressourcen wie Konfigurationsdateien oder Bilder enthalten kann. Durch das Signieren einer JAR-Datei wird eine digitale Signatur hinzugefügt, die von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) oder einer lokalen Entwicklungsumgebung erstellt wird. Diese Signatur stellt sicher, dass die JAR-Datei unverändert ist und von der angegebenen Quelle stammt.

Notwendige Werkzeuge
  1. Keytool: Wird verwendet, um ein Schüsselpaar zu generieren und Zertifikate zu verwalten.
  2. Jarsigner: Ein Kommandozeilenwerkzeug, das von Java bereitgestellt wird, um JAR-Dateien zu signieren.
Schritte zur Signierung einer JAR-Datei
  1. Schüsselpaar generieren: Ein Schüsselpaar bestehend aus einem privaten und einem öffentlichen Schlüssel wird mit dem Befehl keytool erzeugt: keytool -genkeypair -alias meinSchluessel -keyalg RSA -keysize 2048 -keystore meinKeystore.jks -validity 365 Dabei:
    • -alias: Der Name des Schlüssels im Keystore.
    • -keyalg: Der Algorithmus, z. B. RSA.
    • -validity: Die Gültigkeitsdauer des Schlüssels in Tagen.
  2. JAR-Datei signieren: Mit dem Werkzeug jarsigner wird die JAR-Datei signiert: jarsigner -keystore meinKeystore.jks -signedjar signierteApp.jar originalApp.jar meinSchluessel Hierbei wird die Datei originalApp.jar mit dem privaten Schlüssel signiert und die signierte Datei als signierteApp.jar ausgegeben.
  3. Optional: Zertifikat von einer CA beziehen: Um die Signatur vertrauenswürdiger zu machen, kann das Zertifikat bei einer anerkannten CA angefordert und eingebunden werden.

Validierung der Signatur

Bei der Ausführung einer signierten JAR-Datei prüft die JVM (Java Virtual Machine), ob die Signatur gültig ist. Dies geschieht, indem:

  • die Integrität der JAR-Datei überprüft wird (d. h., ob sie seit der Signierung unverändert blieb),
  • das Zertifikat auf Gültigkeit und Vertrauen untersucht wird.
Beispiel für die Ausführung mit Signaturchecks
  1. Starten der Anwendung mit aktivierten Sicherheitsprüfungen: java -jar signierteApp.jar
  2. Fehler bei ungültiger Signatur:
    • Ist die Signatur ungültig oder wurde die Datei manipuliert, gibt die JVM eine Ausnahme aus: java.security.SignatureException: Jar file has been tampered with or is not signed by a trusted source.
  3. Vertrauenswürdigkeit prüfen: Wenn die Signatur nicht mit einer bekannten CA erstellt wurde, muss der Benutzer explizit zustimmen, die Quelle als vertrauenswürdig einzustufen. Alternativ können Zertifikate in den lokalen Keystore der JVM importiert werden: keytool -import -trustcacerts -file meinZertifikat.cer -alias meineCA -keystore cacerts

Limitationen des Ansatzes

  1. Manipulation nach Signierung:
    • Wenn die JAR-Datei nachträglich modifiziert wird (z. B. durch Hinzufügen oder Entfernen von Dateien), wird die Signatur ungültig. Dies bietet jedoch keinen Schutz gegen ähnliche, aber andere Angriffsvektoren, wie Schwachstellen im Code selbst.
  2. Abhängigkeit von Zertifizierungsstellen:
    • Selbst signierte Zertifikate sind weniger vertrauenswürdig, da sie nicht von einer CA beglaubigt wurden. Der Bezug eines Zertifikats von einer anerkannten CA kann teuer und zeitaufwändig sein.
  3. Zertifikatsablauf:
    • Ein Zertifikat hat eine begrenzte Gültigkeitsdauer. Nach Ablauf muss die Anwendung erneut signiert oder das Zertifikat verlängert werden.
  4. Fehlende Verschlüsselung:
    • Die Signatur stellt sicher, dass die Datei nicht manipuliert wurde, bietet aber keinen Schutz gegen das Auslesen der JAR-Inhalte. Um Vertraulichkeit zu gewährleisten, ist zusätzliche Verschlüsselung erforderlich.
  5. Abhängigkeit von der JVM:
    • Der Signaturcheck wird ausschließlich von der JVM durchgeführt. Nutzer, die andere Tools verwenden oder die Sicherheitsprüfungen umgehen, können die Integrität nicht sicherstellen.

Fazit

Das Signieren von JAR-Dateien ist eine bewährte Methode, um die Integrität und Authentizität von Java-Anwendungen sicherzustellen. Dennoch ist es kein Allheilmittel und sollte in Kombination mit anderen Sicherheitsmaßnahmen wie Code-Reviews, Verschlüsselung und Laufzeitschutzmechanismen eingesetzt werden. Entwickler sollten sich der Limitationen bewusst sein und prüfen, ob der Ansatz den Sicherheitsanforderungen ihres Projekts entspricht.