Discussion :

[Harry_Tauper]

Salut à tous,

Je me pose une question toute simple :
"Comment stocker une clé privée dans mon programme Java pour éviter qu'elle soit retrouvé par une simple "décompilation" du .jar ?"

Merci à vous!

Bonne soirée et bon week-end!

++

[kenji_getpowered]

Salut,

je pense que ce n'est pas possible, au pire tu pourras rendre cela plus difficile à retrouver mais pas impossible.

Il faudrait peut être la demander à chaque démarrage de l'appli.
ca dépend a quoi te sert cette clé.

[Harry_Tauper]

Hello,

A quoi sert la clé n'est pas le problème, il s'agit d'une clé secrète servant dans un algorithme de cryptage symétrique qui donc doit être préservée de l'extérieur. Sinon l'ensemble du système se trouve compromis.

Par contre, je suis surpris qu'il ne soit pas possible de la protéger par un quelconque moyen.

Merci quand même ,

Bonne journée

[Invité]

Salut,

Si c'est possible de le faire. Stocker la clef encryptée, et protégée par un mot de passe. Par contre le seul vrai moyen sécurisé est de demander ce mot de passe au démarrage de l'application... Cette solution n'est pas spécifique à Java mais commun à tous les langages : stocker un secret de manière réelement sécurisée ne se fait qu'en protégeant par un mot de passe entré par l'utilisateur...

A plus

[Harry_Tauper]

Bonjour,

Alors si je comprends bien, l'idée est de crypter la clé secrète avec une autre clé secrète (mot de passe) qui est saisie par un utilisateur.
Je vois deux problèmes :

• dans tous les cas, le maillon faible est l'utilisateur, donc lui confier la clé n'est pas une bonne idée
• dans mon cas, je n'ai pas d'utilisateur, personne pour saisir un mot de passe, il me faut donc vraiment protéger la clé dans le programme

Merci pour vos réponses

Bonne journée

++

[tchize_]

dans mon cas, je n'ai pas d'utilisateur, personne pour saisir un mot de passe, il me faut donc vraiment protéger la clé dans le programme

tu te rend compte de ce que tu demande? C'est ce que l'industrie des medias n'est toujours pas parvenue à faire malgrès ses moyen 'comment rendre un secret lisible tout en empechant la lecture de ce secret'. Soit tu met un mot de passe (et le user devra le tapper pour débloquer la clé), soit la clé privée n'est pas ou peu protégée, et dans ce cas c'est la machine qu'il va falloirr protéger pour éviter qu'elle soit compromise. Par exemple, les clés privée ssl/tls des serveur web ne sont en général protégées que par le système de sécurité de l'OS qui ne permet qu'à l'administrateur et au user faisant tourner le service d'y avoir accès. Dans tous les cas, à un moment donné, cette clé devra être lisible.