What is the benefit of using the "proper" JKS keystore over something like AES encryption over just plain property file?
Un punto è che avresti bisogno di gestire il file crittografato da solo.
E non puoi utilizzare altre chiavi e autorità di certificazione che l'utente potrebbe aver già definito.
Why do keystores exist, which benefits do they provide over encrypted properties?
I keystore individuano diversi modi di gestire chiavi e certificati. I certificati non sono sempre memorizzati in file locali. A volte si accede alla rete e in molti casi l'archivio certificati dipende da alcuni dispositivi hardware (come i lettori di schede ID).
Questi keystore hardware spesso non consentono l'estrazione di chiavi private da loro, al fine di mantenerli più sicuri. Al contrario, forniscono un modo programmatico per firmare e / o cifrare i dati.
Esistono diversi dispositivi. Pertanto, il responsabile del keystore nel computer deve utilizzare i diversi protocolli e i driver per accedere a questi keystore hardware.
Ad esempio:
-
PKCS-11 definisce un'API per accedere ai dispositivi crittografici.
- PKCS-12 fornisce uno standard per memorizzare chiavi e certificati in un file.
Il JKS riassume e ti consente di accedere a questo intero ecosistema di keystore.