标签: signature

<T> List<? extends T> f()签名是否有用？它/使用它有什么问题吗？

这是一个面试问题.我知道这个:

1. 它汇编很好
2. 使用它List<? extends Number> lst = obj.<Number>f(),然后我只能在lst上调用那些在签名中不包含T的List方法(比如isEmpty(),size(),但不能添加(T),删除(T)

这完全回答了这个问题吗？

我收到了第三方网络服务的回复.我加载了一个带有该响应的XmlDocument.

  string txt = readStream.ReadToEnd();
  response = new XmlDocument();
  response.PreserveWhitespace = true;
  response.LoadXml(txt);   
  return response;

现在我想验证响应是否使用证书签名.我有一个VerifyXmlDoc(XmlDocument xmlDoc)我在msdn上找到的方法.

我知道这条消息是正确的.

    public bool VerifyXmlDoc(XmlDocument xmlDoc)
    {

        SignedXml signed = new SignedXml(xmlDoc);

        XmlNodeList signatureNodeList = xmlDoc.GetElementsByTagName("Signature");


        signed.LoadXml((XmlElement)signatureNodeList[0]);

        X509Certificate2 serviceCertificate = null;
        foreach (KeyInfoClause clause in signed.KeyInfo)
        {
            if (clause is KeyInfoX509Data)
            {
                if (((KeyInfoX509Data)clause).Certificates.Count > 0)
                {
                    serviceCertificate = (X509Certificate2)((KeyInfoX509Data)clause).Certificates[0];
                }
            }
        }


        bool result = signed.CheckSignature(serviceCertificate, true);
        return result;

    }

如果我将我的项目的目标框架设置为.NET 3.5或.NET 3,或.NET 2,它的工作原理很棒.结果是真的.但是如果我将目标框架更改为.NET 4,则结果为false.(我必须使用.NET 4)

关于如何解决这个问题的任何想法？

有没有办法以编程方式确定当前正在运行的应用程序是否仅为开发而构建和签名,或者是否为分发而构建？并且可以确定是否为应用商店或临时分发构建？

例如,是否可能访问代码签名并从那里获取信息？或者某些变体中是否存在某些不存在于其他变体中的文件？是捆绑信息的一部分吗？或者它可以从可执行文件派生？

任何提示都表示赞赏.

似乎embedded.mobileprovision文件是ASN.1格式.

我有一个字符串,一个签名和一个公钥,我想验证字符串上的签名.关键看起来像这样:

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDfG4IuFO2h/LdDNmonwGNw5srW
nUEWzoBrPRF1NM8LqpOMD45FAPtZ1NmPtHGo0BAS1UsyJEGXx0NPJ8Gw1z+huLrl
XnAVX5B4ec6cJfKKmpL/l94WhP2v8F3OGWrnaEX1mLMoxe124Pcfamt0SPCGkeal
VvXw13PLINE/YptjkQIDAQAB
-----END PUBLIC KEY-----

我已经阅读了一段时间的pycrypto文档,但我无法弄清楚如何使用这种密钥制作RSAobj.如果您了解PHP,我正在尝试执行以下操作:

openssl_verify($data, $signature, $public_key, OPENSSL_ALGO_SHA1);

另外,如果我对任何术语感到困惑,请告诉我.

我想使用jarsigner签署一个jar,然后使用一个Java应用程序验证它,该应用程序没有签名的jar作为其类路径的一部分(即只使用jar的文件系统位置)

现在我的问题是从jar中获取签名文件,是否有一种简单的方法可以做到这一点？

我玩过Inflater和Jar InputStreams没有运气.

或者这是可以更好地完成的事情吗？

谢谢

我是Android开发人员的新手,我几乎准备好发布我的应用程序的第一个版本:)

在我的手机上测试签名版本apk时,它拒绝安装,因为调试版本随调试签名一起安装.

所以我必须卸载调试版本,但它删除了我的所有数据库(它将对我正在测试它的朋友这样做).

有没有办法管理同一个应用程序的调试和发布版本而不会丢失数据？

该标准明确规定main有两个有效(即保证有效)的签名; 即:

int main();
int main(int, char*[]);

我的问题很简单,以下是合法的吗？

int main(const unsigned int, const char* const* argv);

我的测试中说"是",但我不能确定的答案,因为我不能超载main改变int来unsigned int以及非顶层const的argv -ness？如果我是,那显然是禁止的.

那么,这些修改是否可以保证在符合标准的编译器上工作？

尝试在此处遵循应用内购买的一些安全准则:http: //developer.android.com/guide/market/billing/billing_best_practices.html

我试图在服务器上而不是在应用程序中自己进行签名验证.我理想情况下喜欢使用php openssl库,它看起来像以下代码应该工作:

<?php
// $data and $signature are assumed to contain the data and the signature

// fetch public key from certificate and ready it
$fp = fopen("/src/openssl-0.9.6/demos/sign/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);

// state whether signature is okay or not
$ok = openssl_verify($data, $signature, $pubkeyid);
if ($ok == 1) {
    echo "good";
} elseif ($ok == 0) {
    echo "bad";
} else {
    echo "ugly, error checking signature";
}
// free …

我们需要验证二进制文件是否使用数字签名(Authenticode)正确签名.这可以通过signtool.exe轻松实现.但是,我们需要一种自动方式来验证签名者名称和时间戳.这在使用CryptQueryObject()API的本机C++中是可行的,如以下精彩示例所示:如何从Authenticode签名的可执行文件获取信息

然而,我们生活在一个托管的世界:)因此寻找相同问题的C#解决方案.直接的方法是pInvoke Crypt32.dll,一切都完成了.但是System.Security.Cryptography.X509CertificatesNamespace中有类似的托管API .X509Certificate2类似乎提供了一些信息但没有时间戳.现在我们来到原始问题,我们如何才能在C Sharp中获得数字签名的时间戳？

我们的android项目包括 移动和磨损应用程序(穿戴应用程序正在开发中),我们正在尝试发布移动应用程序.当我们尝试生成签名的apk时,我们得到以下消息:

Error:Execution failed for task ':wear:packageRelease'.
> com.android.ide.common.signing.KeytoolException: Failed to read key
toyanathpatro from store "/home/adventure/toyanath_patro_key/toyanath_patro_key":
No key with alias 'toyanathpatro' found in keystore /home/adventure/toyanath_patro_key/toyanath_patro_key

正如它所读到的那样说失败的任务:穿:packageRelease实际上我们在选择签署apk时只选择移动设备.

任何人都可以指出我的错误吗？提前致谢.