我正在处理必须保护数据(显示代码不是主要问题)文件的项目。我们正在使用 Java + Netbeans。是否有任何工具可以以加密格式创建 jar?我们也在使用 sqlite 作为数据库 - 所以将文本文件以加密格式放置对我们来说也是不合适的选择。
【问题讨论】:
标签: java sqlite encryption jar
创建加密的 JAR 是不可能的,因为正在执行的 JavaVM 必须能够以某种方式读取它想要执行的数据。 与 VM 类似,任何拥有适当工具和专业知识的人都可以从 JAR 中提取所有数据。
如果可以加密 JAR,您还必须向想要执行 JAR 的客户端提供一些解密密钥或工具,这完全违背了加密的目的。
你能得到的最好的就是混淆,但这对于野心勃勃的攻击者来说并不是真正的安全或障碍。
【讨论】:
另一种选择是制作一个自定义 JVM,它可以即时解密 JAR。但是同样的问题仍然存在:在某些时候,JAR Java 类必须被解密才能由 JVM 运行,并且在那时它们可以被捕获和反编译。
更不用说拥有自定义 JVM 会要求所有用户也下载该 JVM。
【讨论】:
您可以使用 CipherOutputStream 和 CipherInputStream 以加密格式将 Java 对象序列化到磁盘。这可能是一个用于保存数据的选项。
【讨论】:
Kosi2801 几乎是正确的。我能想到你唯一能做的就是以下,但这很丑。
这会让你加载类。你可以做同样的事情(没有类加载器)来加载其他资源。
虽然实现起来很有趣(对于那些喜欢挑战的人来说),但这也存在一些问题:
所以你可以让人们绕道而行,让事情变得更难,但在你已经给予的情况下,你所能做的就是试图让其他人不得不投入的时间不值得。
软件保护非常困难,尤其是像 Java 这样可以轻松反编译并且不能像 C/Assembly 那样更改自己的代码的东西。一些最昂贵的软件需要硬件加密狗或锁定到某个 CPU 或其他硬件是有原因的。
【讨论】:
一般来说,如果您希望应用程序及其数据自包含,则无法以安全的方式执行此操作。但是,您当然可以加密文件并使用隐藏在代码中的密钥对其进行解密。一个坚定的黑客可以得到它,但如果这不是你所担心的,那很好。如果这样做,请记住加密数据无法压缩,因此请先压缩,然后再加密。
如果您确实需要保护数据(例如机密数据),则需要使用密钥加密数据,并通过一些外部方式将该密钥提供给应用程序,例如将其放在拇指驱动器上并获取通过安全的信使向用户发送。
另一种可能性是通过 SSL 提供数据(或密钥),并使用良好的身份验证方法来验证您的用户是谁。
一般来说 - 任何系统都不可能完全安全,但也不是必需的。系统只需要足够安全以阻止您认为会试图破解它的攻击者。
【讨论】:
我同意 Kosi2801。类文件加密只是对安全性的模仿(见http://www.excelsior-usa.com/articles/java-obfuscators.html) 使用自定义 ClassLoader 可能会破坏应用程序,例如在应用程序服务器中。
有更好的方法:在类文件中使用字符串常量的加密。大多数商业混淆器都有这个功能,例如Allatori、Stringer Java Obfuscation Toolkit、Zelix KlassMaster、Smokescreen、DashO(超级昂贵)。 Stringer Java 混淆器具有调用上下文检查和完整性控制功能,这使得保护非常难以破解。
最安全的方法是在 JavaCard 等外部设备上存储和执行部分字节码。
注意我是 Licel LLC 的首席执行官。 Stringer Java 混淆器的开发者。
【讨论】: