Diese Frage hat hier bereits eine Antwort:

Ich arbeite an einem Softwareprojekt, bei dem die Anwendung in einer nicht vertrauenswürdigen Umgebung ausgeführt wird. Ich muss eine zusätzliche kryptografische Signatur durchführen (was bedeutet, dass dies nicht das primäre Mittel zum Sichern von Daten ist), möchte den Schlüssel jedoch nicht als solchen im Klartext anzeigen:

private static final String privateKey = "00AABBCC....0123456789";

Welche Methode kann ich verwenden, um dies angemessen abzusichern? Mir ist bewusst, dass nichts ein vollständiger Beweis ist, aber dies fügt der Sicherheitswand eine zusätzliche Ebene hinzu.

Zur Verdeutlichung: Ich habe im Wesentlichen einen String, den ich nicht einfach in einem Debugger oder über Reflection herausziehen möchte. Ich bin mir bewusst, dass die Dekompilierung der Klassendatei im Wesentlichen dazu führen kann, dass es zu Problemen kommt, aber das ist ein akzeptables Risiko.

ffensichtlich wäre das Speichern des Schlüssels außerhalb des Standorts ideal, aber ich kann den Internetzugang nicht garantiere