保存一个字符串密钥，有什么好方法-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
netsniffer 雪币： 53 活跃值： (280) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 336 粉丝 5 关注私信	netsniffer 2 楼 AndroidKeystore 比app自己保存要好N倍 2016-4-26 17:57 0
oldleesong 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	oldleesong 4 楼加密算法如rsa xxtea等加密方式 so，插入混淆代码，加固 2016-4-30 23:10 0
bingxue 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 40 粉丝 0 关注私信	bingxue 5 楼能说的详细点么 2016-5-3 13:44 0
o冰柠檬o 雪币： 272 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	o冰柠檬o 6 楼随便百度搜下就出来了，没用过，仅当参考以下内容转载自： http://appscan.360.cn/blog/?p=145 方案1： Android里存储加密密钥最好的解决方案应该是使用keystore。 http://developer.android.com/reference/java/security/KeyStore.html 条件：需要target SDK >= 18 特点： 1.只有应用自身UID可以访问这个KeyStore。 2.只能存储非对称密钥，也就是说你需要使用这个非对称密钥加密存储在设备上某处的对称密钥。方案2：如果target SDK < 18,有个相对来说比较安全的方案，因为Android4.3以前没有一个合适的存储对称密钥的系统方案。这时可以使用AccountManager。 http://developer.android.com/reference/android/accounts/AccountManager.html 特点：只允许添加这个密钥的应用访问它，当使用getPassword()方法时会校验调用者的uid以及其是否拥有 AUTHENTICATE_ACCOUNTS 这个权限。 Note:虽然拥有root权限的应用依然可以访问到这个密钥，然而却比和被加密的数据一起存储在应用私有目录安全。方案3：（针对使用了应用锁、文件锁等功能，需要用户输入密码才能访问的功能）存储密钥最安全的方式，无疑是存储在用户的脑子里。对于一些特殊功能的应用，比如文件锁、应用锁等，可以使用PBKDF2函数，把用户输入的密码做为参数来生成加密密钥。如果用户的密码足够复杂，那么这个方案应该是很安全的。谷歌实现了这个方案。 http://android-developers.blogspot.com/2013/02/using-cryptography-to-store-credentials.html 代码： public static SecretKey generateKey(char[] passphraseOrPin, byte[] salt) throws NoSuchAlgorithmException, InvalidKeySpecException { // Number of PBKDF2 hardening rounds to use. Larger values increase // computation time. You should select a value that causes computation // to take >100ms. final int iterations = 1000; // Generate a 256-bit key final int outputKeyLength = 256; SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance(“PBKDF2WithHmacSHA1″); KeySpec keySpec = new PBEKeySpec(passphraseOrPin, salt, iterations, outputKeyLength); SecretKey secretKey = secretKeyFactory.generateSecret(keySpec); return secretKey; } Note：这个salt是一个随机的数，可以和需要加密的数据一块存储在应用私有目录。关于SecureRandom的使用 Android 4.2之前使用的SecureRandom是由Bouncy Castle-based 实现的，4.2开始默认由OpenSSL提供。下面这段代码在4.2之前的系统上，调用secureRandom.nextInt()生成的数字是相同的,随机性被破坏。 SecureRandom secureRandom = new SecureRandom(); byte[] b = new byte[] { (byte) 1 }; secureRandom.setSeed(b); // Prior to Android 4.2, the next line would always return the same number! System.out.println(secureRandom.nextInt()); 建议在使用SecureRandom时不要使用setSeed()来设置seed。最安全的方案：http://android-developers.blogspot.co.uk/2013/08/some-securerandom-thoughts.html 最后几点建议： 1.不要依赖系统的umask来生成文件的访问权限(不同系统版本umask不同)，显式的使用MODE_PRIVATE 2.不要存储在sdcard上，sdcard为了兼容性使用的是fat32格式，即使使用MODE_PRIVATE来限制文件权限也是无用的。任何申请了读写sdcard权限的应用都可以访问sdcard上任何内容。 3.不要硬编码密钥到代码里。 2016-5-3 14:30 0
bingxue 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 40 粉丝 0 关注私信	bingxue 7 楼这方法还是不行 2016-5-4 10:50 0
程IT龙雪币： 4 活跃值： (327) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	程IT龙 8 楼用白盒算法吧 2016-5-4 11:16 0
bingxue 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 40 粉丝 0 关注私信	bingxue 9 楼不明白，请在描述下 2016-5-4 14:00 0
程IT龙雪币： 4 活跃值： (327) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	程IT龙 10 楼自己搜下白盒加密算法 2016-5-12 16:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
netsniffer 雪币： 53 活跃值： (280) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 336 粉丝 5 关注私信	netsniffer 2 楼 AndroidKeystore 比app自己保存要好N倍 2016-4-26 17:57 0
oldleesong 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	oldleesong 4 楼加密算法如rsa xxtea等加密方式 so，插入混淆代码，加固 2016-4-30 23:10 0
bingxue 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 40 粉丝 0 关注私信	bingxue 5 楼能说的详细点么 2016-5-3 13:44 0
o冰柠檬o 雪币： 272 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	o冰柠檬o 6 楼随便百度搜下就出来了，没用过，仅当参考以下内容转载自： http://appscan.360.cn/blog/?p=145 方案1： Android里存储加密密钥最好的解决方案应该是使用keystore。 http://developer.android.com/reference/java/security/KeyStore.html 条件：需要target SDK >= 18 特点： 1.只有应用自身UID可以访问这个KeyStore。 2.只能存储非对称密钥，也就是说你需要使用这个非对称密钥加密存储在设备上某处的对称密钥。方案2：如果target SDK < 18,有个相对来说比较安全的方案，因为Android4.3以前没有一个合适的存储对称密钥的系统方案。这时可以使用AccountManager。 http://developer.android.com/reference/android/accounts/AccountManager.html 特点：只允许添加这个密钥的应用访问它，当使用getPassword()方法时会校验调用者的uid以及其是否拥有 AUTHENTICATE_ACCOUNTS 这个权限。 Note:虽然拥有root权限的应用依然可以访问到这个密钥，然而却比和被加密的数据一起存储在应用私有目录安全。方案3：（针对使用了应用锁、文件锁等功能，需要用户输入密码才能访问的功能）存储密钥最安全的方式，无疑是存储在用户的脑子里。对于一些特殊功能的应用，比如文件锁、应用锁等，可以使用PBKDF2函数，把用户输入的密码做为参数来生成加密密钥。如果用户的密码足够复杂，那么这个方案应该是很安全的。谷歌实现了这个方案。 http://android-developers.blogspot.com/2013/02/using-cryptography-to-store-credentials.html 代码： public static SecretKey generateKey(char[] passphraseOrPin, byte[] salt) throws NoSuchAlgorithmException, InvalidKeySpecException { // Number of PBKDF2 hardening rounds to use. Larger values increase // computation time. You should select a value that causes computation // to take >100ms. final int iterations = 1000; // Generate a 256-bit key final int outputKeyLength = 256; SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance(“PBKDF2WithHmacSHA1″); KeySpec keySpec = new PBEKeySpec(passphraseOrPin, salt, iterations, outputKeyLength); SecretKey secretKey = secretKeyFactory.generateSecret(keySpec); return secretKey; } Note：这个salt是一个随机的数，可以和需要加密的数据一块存储在应用私有目录。关于SecureRandom的使用 Android 4.2之前使用的SecureRandom是由Bouncy Castle-based 实现的，4.2开始默认由OpenSSL提供。下面这段代码在4.2之前的系统上，调用secureRandom.nextInt()生成的数字是相同的,随机性被破坏。 SecureRandom secureRandom = new SecureRandom(); byte[] b = new byte[] { (byte) 1 }; secureRandom.setSeed(b); // Prior to Android 4.2, the next line would always return the same number! System.out.println(secureRandom.nextInt()); 建议在使用SecureRandom时不要使用setSeed()来设置seed。最安全的方案：http://android-developers.blogspot.co.uk/2013/08/some-securerandom-thoughts.html 最后几点建议： 1.不要依赖系统的umask来生成文件的访问权限(不同系统版本umask不同)，显式的使用MODE_PRIVATE 2.不要存储在sdcard上，sdcard为了兼容性使用的是fat32格式，即使使用MODE_PRIVATE来限制文件权限也是无用的。任何申请了读写sdcard权限的应用都可以访问sdcard上任何内容。 3.不要硬编码密钥到代码里。 2016-5-3 14:30 0
bingxue 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 40 粉丝 0 关注私信	bingxue 7 楼这方法还是不行 2016-5-4 10:50 0
程IT龙雪币： 4 活跃值： (327) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	程IT龙 8 楼用白盒算法吧 2016-5-4 11:16 0
bingxue 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 40 粉丝 0 关注私信	bingxue 9 楼不明白，请在描述下 2016-5-4 14:00 0
程IT龙雪币： 4 活跃值： (327) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	程IT龙 10 楼自己搜下白盒加密算法 2016-5-12 16:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复