作为序列化对象交换公钥

Question

如何将公钥交换到客户端。我使用私钥使用 RSA 算法加密了文档（文本文件），然后使用序列化将公钥作为 java.security.Key 对象存储在文件中。我想知道序列化公钥对象的完整性这是安全的选择或任何其他可用的选择。

Answer 1

公钥通常只是作为一段文本进行交换。然后将其导入密钥库。确切的方法取决于实现（我一直使用 PGP）。

我不会将密钥公开为 java.security.Key 的序列化形式，因为它并不是真正的标准。其简单形式的关键是交换的标准形式。

将密钥公开为下载：它是公开的，因此入侵者无法通过下载您的密钥来执行任何操作。唯一可能出错的是有人可能伪造您的服务器并托管不同的密钥。然后使用该密钥的私钥进行签名并声称是您。当然，如果您将其邮寄给某人，您可能会遇到同样的问题。但至少你会知道你把它寄给了谁。

最安全的方法是将密钥分散到越界之外。就像在 U 盘上一样。

根据您的原因，我认为您可以承受这个风险。

Answer 2

Joeri 已经就安全方面做出了回答——对此我没有什么可补充的。

您可能遇到的主要问题是序列化表示在库版本之间发生变化，这是任何使用 Java 序列化的潜在问题。

当然还有其他方法可以做到这一点。 RSA 公钥应具有行业标准编码，您可以使用 getEncoded() 方法访问该编码。这将为您提供一个字节数组，您可以将其写入到FileOutputStream。所以这真的很容易。