Dobry den, tim, ze jste vybral z Bouncy Castle jen nektere tridy jste narusil integritu toho baliku (JCE provider). Tim padem jiz nemuze puvodni autor rucit za autenticnost bytekodu (podpis je narusen) a provider je odmitnut.
Nemam s timto problemem primou zkusenost, vyse uvedene tvrzeni je jen muj tip. Resenim by bylo nepouzivat sifrovani pres architekturu kryptografickych provideru (JCE), ale volat primo konkretni implementacni tridy z BouncyCastle. Na ty uz se pak zadna kontrola podpisu vztahovat nebude. Ztratite tim moznost relativne snadne zameny sifrovaci knihovny a budete zavisly na BC. Nevidel bych v tom vsak problem. mp. -----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Ondrej Pur Sent: Wednesday, July 12, 2006 3:42 PM To: konference@java.cz Subject: Podepisovaci applet Dobry den, delam podepisovaci applet, ktery pouziva knihovnu BouncyCastle (bouncycastle.org). Applet je podepsany (prozatim pro vyvoj) self-signed certifikatem, knihovna BouncyCastle je sama podepsana uz od vydavatele. Kdyz se applet i knihovna stahne na klienta, browser chce potvrdit duveryhodnost vydavatele Appletu a duveryhodnost vydavatele knihovny kazde zvlast (tedy z browseru vyskakuji 2 hlasky). Vsechno slape jak ma. Knihovna je ale free a ja z ni potrebuji jen nektere tridy, zbytek zdrojaku ne, aby byl applet co nejmensi. Kdyz se ale pridaji jen vybrane zdrojaky, vse se skompiluje jen do jednoho jarka appletu, to se podepise, tak to ve vysledku nefunguje (resp. funguje jen do te doby, nez ma dojit na sifrovani). Java takhle podepsanemu appletu neveri. // tohle jeste probehne ok Security.addProvider(new BouncyCastleProvider()); // na tomhle to vyleti Cipher.getInstance("RSA", "BC"); java.lang.SecurityException: JCE cannot authenticate the provider BC Caused by: java.util.jar.JarException: pkiLoginApplet.jar is not signed by a trusted signer. Nevedel byste nekdo co je treba udelat, pripadne jak/cim applet podepsat, aby to fungovalo stejne jako kdyz je knihovna zvlast? (Nejde mi to do hlavy, protoze v tom zas tak velky rozdil nevidim, nebot proti root trusted certifikatum iexploreru to neoveri nikdy ani jeden, i kdyz je knihovna zvlast - podle toho co je videt v logu na konzoli appletu, ale tak to funguje. Zkratka knihovna zvlast - funguje, zdrojaky knihovny primo jako soucast - nefunguje). security: Certificate has failed the verification with the Internet Explorer ROOT certificates security: No timestamping info available Rucni zasahy do souboru na strane klienta jako java.security a java.policy vubec neuvazuji, musi to fungovat bez techto zasahu. Take mne napadlo ze to bude zrejme tim, jakym certifikatem to podepisuji. Dostal jsem ale k dispozici ostry certifikat a privatni klic vydany CAIOFF, ale i kdyz je to podepsane timhle, tak se to chova stejne. Diky moc za kazdou radu. Hezky den, Ondra -- Echte DSL-Flatrate dauerhaft für 0,- Euro*! "Feel free" mit GMX DSL! http://www.gmx.net/de/go/dsl
