В настоящее время мы используем jarsigner для подписи нашего jar. Затем мы отображаем некоторые значения SHA1-Digest для некоторых конкретных классов, чтобы доказать внешнему аудитору, что код не изменился между выпусками.
Мы полагаемся только на файл META-INF/xxx.SF
для получения информации о дайджесте и никогда не используем файл блока подписи META-INF/xxx.DSA
.
Поскольку в нашем коде нам нужен только расчет дайджеста, мне было интересно, возможно ли сгенерировать файл .SF
с помощью какого-либо инструмента Java без фактического использования ключа.
Я прочитал http://docs.oracle.com/javase/6/docs/technotes/tools/windows/jarsigner.html, но похоже, что ключ обязателен.