java - 在 Android Keystore 中安全地存储 key-6ren

java - 在 Android Keystore 中安全地存储 key

转载作者：搜寻专家更新时间：2023-11-01 03:20:18

25

4

我正在制作一个与服务器通信的 android 应用程序。我在我的服务器上使用基于 token 的身份验证，为了将信息从服务器传递给客户端，我使用了非对称加密。

过程是这样的

生成的公钥和私钥事先已经存在
公钥用于加密信息，然后从服务器传递给客户端
App使用私钥解密信息

但是，我不知道如何将私钥安全地存储在 keystore 中。如果我在运行时存储它， key 将在代码中出现，如果我在 REST 连接期间发送私钥，那么加密就没有意义，因为黑客可以找到这两个 key 。任何人都可以帮助我创建最佳解决方案吗？提前致谢!

最佳答案

您可以将您的私钥存储在共享首选项中，但使用生成的 key 加密，该 key 将存储在 Android KeyStore 中，这将在存储私钥时提供更多安全性。

请参阅下面的 Kotlin 示例。首先，您需要生成 key :

fun generateSecretKey(): SecretKey {
    val keyGenerator = KeyGenerator.getInstance(KeyProperties.KEY_ALGORITHM_AES, "AndroidKeyStore")
    val spec = KeyGenParameterSpec
            .Builder(secretKeyAlias, KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT)
            .setBlockModes(KeyProperties.BLOCK_MODE_GCM)
            .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_NONE)
            .build()

    keyGenerator.init(spec)
    return keyGenerator.generateKey()
}

它将自动存储在 KeyStore 中，因为我们在获取 KeyGenerator 实例时将其作为提供者提及。

以后需要再次获取秘钥的时候可以这样:

fun getSecretKey(): SecretKey {
    val keyStore = KeyStore.getInstance("AndroidKeyStore").apply { load(null) }
    val secretKeyEntry = keyStore.getEntry(secretKeyAlias, null) as KeyStore.SecretKeyEntry
    return secretKeyEntry.secretKey
}

或者你总是可以使用 getSecretKey() 方法，如果从 KeyStore 中获取的是 null ，它将生成一个新的，通过改变最后线到:

return secretKeyEntry.secretKey ?: generateSecretKey()

得到SecretKey后就可以进行加密了:

fun encrypt(data: String): ByteArray? {
    val cipher = Cipher.getInstance("AES/GCM/NoPadding")
    cipher.init(Cipher.ENCRYPT_MODE, getSecretKey())
    iv = cipher.iv
    return cipher.doFinal(data.toByteArray())
}

这里，方法 encrypt 将返回一个 ByteArray，您可以将其存储在 SharedPreferences 中。注意:您还应该存储初始化 vector (IV)。这里它存储到 iv 属性。

要解密存储的数据，请使用此方法:

fun decrypt(encrypted: ByteArray): String {
    val cipher = Cipher.getInstance("AES/GCM/NoPadding")
    val spec = GCMParameterSpec(128, iv)
    cipher.init(Cipher.DECRYPT_MODE, getSecretKey(), spec)
    val decoded = cipher.doFinal(encrypted)
    return String(decoded, Charsets.UTF_8)
}

在这里，您必须将存储初始化 vector (IV) 传递给 GCMParameterSpec。

希望对大家有帮助。

关于java - 在 Android Keystore 中安全地存储 key ，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/32298956/

25

4

0

文章推荐： java - ApplicationContext.getBean 与 new 关键字

文章推荐： android - 使用 WKWebEngine 不会在 iOS 中设置/存储 Cookie

文章推荐： Java 线程程序无法使用 wait() 和 notifyAll()

keystore - jarsigner 错误 : java. lang.RuntimeException: keystore 加载: keystore 格式无效
当我在工作区执行 certsign.sh 脚本时，出现以下错误 jarsigner 错误:java.lang.RuntimeException: keystore 加载:无效的 keystore 格式
keystore - 如何生成 keystore 和信任库
如何: 生成 keystore 生成信任库为了让 SSL 在客户端和服务器之间工作，我只需要的帮助使用终端命令(Keytool 和 openssl)生成用于相互身份验证的 keystore 和信任
keystore - 信任库和 keystore 定义
keystore 和信任库之间有什么区别？最佳答案 keystore 包含私钥以及证书及其相应的公钥。信任库包含来自您希望与之通信的其他方的证书，或来自您信任的可识别其他方的证书颁发机构的证书。
keystore - 如何将x509.pem pk8文件导入jks-keystore？
我已经尝试使用命令 keytool -import -keystore *.jks -alias alias_name -keypass alias_passwd -file *.x509.pem`
keystore - .keystore 文件和 .jks 文件之间的区别
我试图找出.keystore文件和.jks文件之间的区别，但我找不到它。我知道 jks 代表“Java keystore”，两者都是存储键/值对的一种方式。使用其中一种与另一种相比有什么区别或偏好吗
Java keystore - 以编程方式从 keystore 文件中选择要使用的证书
我有一个包含多个客户端证书的 Java keystore 文件。我希望在我的 Java 应用程序中仅选择这些证书之一来连接到服务。有没有简单的方法可以做到这一点？到目前为止，我找到解决方案的唯一方法是
android - 以编程方式检测调试 keystore 或发布 keystore
我想知道是否有一种方法可以检测程序是在默认(调试) keystore (从 eclipse 运行时)还是在签名 keystore (发布到 Android 市场时)上运行我在我的应用程序中使用谷歌地
java.sql.SQLNonTransientConnectionException: Cannot open file:keystore.jks [Keystore was tampered with, or password was incorrect](异常：无法打开文件：keystore.jks[密钥库被篡改，或密码不正确])
我是Java世界的新手，虽然使用NetBeans代码创建Web应用程序工作正常，直到执行get方法，但当我试图执行SQL查询时，glassfish无法显示来自MSQL DB的数据并给出错误。我正在使用
azure - 如何从 keystore 检索证书并将其导入到另一个 keystore 而不保存它？
在 Azure 管道中有以下任务 AzureResourceManagerTemplateDeployment@3 从 ARM 模板部署 Key Vault 然后，AzurePowerShell@5
java - 创建 keystore 并将证书附加到其中后， keystore 格式无效
我正在使用以下命令使用 OpenSSL 创建 keystore : openssl pkcs12 -export -in mycert.crt -inkey mykey.key \
azure - 如何从 keystore 检索证书并将其导入到另一个 keystore 而不保存它？
在 Azure 管道中有以下任务 AzureResourceManagerTemplateDeployment@3 从 ARM 模板部署 Key Vault 然后，AzurePowerShell@5
java - 加载 keystore 文件时出现无效 keystore 格式异常
我使用下面的代码尝试加载 keystore 文件，但收到 java.io.IOException: 无效的 keystore 格式异常。关于如何解决此问题或导致问题的原因有什么想法吗？加载 keys
keystore - 将 keystore 导入到 artifactory 中不会显示任何可用的别名
我目前正在评估 Artifactory Pro 版本的 jar 签名功能。我正在按照此处找到的手册进行操作:https://www.jfrog.com/confluence/display/RTF/W
Java Keystore 无法将 X509Certificate 添加到 Keystore
当我尝试将证书添加到 Keystore 时，我遇到了一个奇怪的错误。 System.out.println(x509Certificate.getPublicKey()); // prints pub
java - Keystore -- 从命令行自定义 SecretKey 进入 Keystore
作为加密和保存数据的一部分，我们使用 AES 算法和 openssl 生成了 key 。 openssl enc -aes-256-cbc -P -nosalt Openssl 已生成 KEY 和 I
android - 丢失旧 keystore ，需要使用新 keystore 对应用程序进行签名
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: I lost my .keystore file! 我丢失了在 Market 上发布的 Android 应用
android - 如何从 keystore 密码重新生成 .keystore 文件
我不小心删除了我的应用程序的 .keystore 文件，但我仍然有用于生成 .keystore 文件的 Keystore 密码。有什么方法可以使用密码恢复该文件吗？最佳答案不，这不可能。一旦你失去
java - 如何在运行时使用新上传的 keystore 文件更新 keystore 属性？
我正在访问一个 https URL，证书已添加到我的应用程序 keystore 属性中。但是，目标 https URL 的证书最近发生了变化。我们不想重新编译代码并使用更新后的 keystore
Java:从 keystore 文件确定 keystore 的类型
所以我有一个应用程序，允许用户使用 HTTPS 配置服务器。服务器使用 Undertow。要向 Undertow 添加 HTTPS 处理程序，我需要调用 Keystore.getInstance("J
java - 何时安装 keystore 以及何时只安装包装在 keystore 中的证书
这个问题在这里已经有了答案: Truststore and Keystore Definitions (7 个答案) 关闭 6 年前。我有一个 PKCS#12我将其视为 keystore 文件，因

首页

博学

6Ren·AI

商城

java - 在 Android Keystore 中安全地存储 key