ios - 如何在 iOS 应用程序中存储关键敏感信息，如 secret 、 key 、 token 、加密 key

Question

当我们谈论保护 iOS 应用程序时，我们常常忘记保护最关键的敏感信息，例如 secret 、 key 、 token 、加密 key 。此信息存储在 iOS 二进制文件中。所以你的服务器端安全协议(protocol)都不会帮助你。

有很多建议我们不应将此类信息存储在应用程序中，而应将其存储在服务器中并通过 SSL 安全网络服务调用获取。但这对所有应用程序都是不可能的。例如。如果我的应用程序根本不需要 Web 服务。

在 iOS 应用中，我们有以下选项来存储信息。

1. UserDefault:不适合这种情况
2. String 常量:不适合这种情况。可以反转工程师检索或仅使用 strings command
3. 安全数据库:存储在安全和加密的数据库中。 但同样有责任确保数据库用户名和密码的安全。
4. KeyChain:最适合存储关键信息。但是我们不能在安装应用程序之前保存信息。要存储在钥匙串(keychain)中，我们首先需要打开应用程序，从某个来源读取并存储在钥匙串(keychain)中。也不适合我们的情况。
5. 自定义哈希字符串常量:不直接使用来自服务提供商(mixpanel、paypal)的 secret 、 token 、 key ，而是使用来自自定义 key 的该信息的哈希版本。这也不是完美的解决方案。但是在黑客攻击过程中增加了复杂性。

请发送一些解决此问题的好方法。

Answer 1

如果您不想使用自己的后端，请使用 Apple。您可以配置随需应变资源并使用您的 key 、 token 和 Apple 服务器上的任何 secret 保存数据文件。首次下载后，您可以将此数据写入足够安全的钥匙串(keychain)。我猜 iOS 和 Apple 服务器之间的网络也足够安全。

On-Demand Resources Essentials

Accessing and Downloading On-Demand Resources