应用加密简介

为了保护应用代码安全，保护开发者的核心资产，HarmonyOS提供了端到端的应用代码保护机制，该机制以系统安全为基础，构建内核级应用生命周期内的代码安全保护能力。

开发者向应用市场提交上架申请，上传应用包后可选择是否加密。
选择加密的应用，在经过应用市场审核后，应用市场会对上架应用做代码加密。应用在设备上安装时，安装文件落盘后仍是处于加密状态，有效的保护应用程序；当应用程序启动时，通过内核加载的应用文件是加密状态，因此这些文件会在内核中按需解密执行。
应用加密采用标准AES加密算法，解密后的明文只存在于内存中，不会存储到设备，形成端到端的加密方案，有效的保障应用程序的安全性。

系统级应用加密具有如下优点：

应用端到端加密，应用启动后在内核内按需解密执行。
系统级的解密优化，相对于传统加壳等加固方式对性能的影响更小。
解密密钥经过安全传输后存储在系统TEE环境中，更加安全。
加密影响
开启了应用加密的应用在程序启动时执行对文件内容的解密动作，因此会产生一定的一次性的性能开销。
目前经过按需解密、并行解密等多种技术优化，预计对应用冷启动耗时影响在5%以内，启动功耗影响在1.5%以内。
由于加密算法本身的特性，加密后的应用压缩包和差分包相比于不加密的应用体积更大。

加密效果

加密对象为应用内编译后的代码文件，覆盖ABC/SO文件，加密前的代码文件可被反编译，加密后的代码文件不可被分析，保障应用代码防逆向分析、防破解。加密前后的效果对比如下：

加密前

加密后
由于应用加密使用的密钥完全不会在应用包中出现，因此，即使加密后的应用应用包被获取，攻击者仅能获取到代码的密文，仍然相当于要破解AES密码算法才能进行逆向分析。

使用步骤

应用加密特性在应用上架时加密，应用运行时按需解密。安全增强的同时，确保开发者、消费者无感的安全体验，避免应用开发者适配工作，保障用户无感的纯净安全体验。通过内核高效解密能力，打造优于三方加壳工具的性能体验。

应用加密在不同阶段中的步骤如下：
开发阶段：开发者无感知。
上架阶段：开发者选取待发布的软件包并上传后，可选择设置分发的软件包是否加密，选择加密后即被加密。
操作步骤可参考：发布HarmonyOS应用-选取待发布的软件包。
分发阶段：应用将被应用市场加密分发，防止安装包被获取后逆向分析。
安装阶段：应用解密密钥经端云安全协商后在TEE环境内安全存储。
运行阶段：内核加载应用时，按需解密，明文仅存在于内存中。

鸿蒙系统安全还是不错的，有兴趣的可以看看《鸿蒙生态应用安全技术白皮书》

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)