Un software (scritto in Java) da un venditore utilizza la firma DSA per verificare che le informazioni sulla licenza siano corrette.
Ciò si ottiene inserendo la chiave pubblica nello stesso software Java.
Le informazioni sulle licenze legittime vengono generate, quindi firmate con la chiave privata e salvate in un file, che può essere verificato dalla chiave pubblica.
Arriva un hacker, che genera la sua coppia di chiavi privata / pubblica e modifica la chiave pubblica incorporata nel software Java. Quindi genera un file di licenza con la propria chiave privata.
Come può essere aggirato questo scenario? Cioè, quali misure può prendere il fornitore per impedire all'hacker di fare quanto sopra?
Grazie.