- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我有一个项目需要用 AES 加密一些数据。但是,我在我的项目中对 AES key 进行硬编码,如下所示:
NSString *passwd = @"someStringAsKey";
NSData *encryptedData = [Encrypter encrypteData:unencryptedData];
如果有人想破解我的二进制文件以找到我硬编码的 AES key ,这很容易吗?如果是,存储 AES key 的更好方法是什么?
编辑: key 用于加密和解密一 block 数据,应用程序从服务器下载数据,然后应用程序对其进行加密并将加密后的数据保存在磁盘上。此 key 在每个设备的基础上使用,这意味着每个设备都可以拥有自己的 key ,只要每次应用程序运行时,它都知道如何生成 key 。
编辑 2:数据下载过程受到这样的保护:客户端每次登录时生成一个随机的私钥/公钥对。它将公钥发送给服务器,服务器使用公钥加密AES key ,然后将加密后的AES key 发送给客户端。客户端解密 AES key 并将其放入内存。然后客户端和服务器传输由该 AES key 加密的数据。
我的目标是保护磁盘上的数据不被黑客解密。我假设黑客能得到的是我的二进制图像和磁盘上的数据。黑客也可以在他自己的设备上运行我的应用程序并分析内存。
我不需要保护这种攻击:黑客很聪明,他写了一个病毒在越狱设备上运行,病毒可以分析我的应用程序的运行内存来搜索内存中的一些 key 。所以我们不用担心网络传输的安全问题。
最佳答案
是的,它很可能很容易找到。事实上,不可能以完全安全的方式在本地存储 key 。您能做的最好的事情就是混淆视听,让潜在的攻击者不值得为此付出努力。比如把密码存到一个有一堆垃圾字母的文件里,在内存中挑出正确的。说密码是“密码”:
efgwhipbuobgweuaegiwhipsiphshipwgiewhp< b>oneifgwnpripndpad(我没有做任何广泛的研究,但我认为Blowfish 使用类似的内存缓冲区上的技术)
您可以将这样的大字符串存储为您想要的任何编码(晦涩的编码会更好),然后只需挑选并选择您想要的位。我能看到的唯一问题是你必须在某一时刻将它存储在内存中,如果它在内存中,那么据我所知,有决心的人可以使用 GDB 或 LLDB 获得它。为了使这更烦人,请避免将密码作为 NSString
存储在内存中(尽量使用 NSData
)。不过,这确实值得。不幸的是,最终,您的数据在 iOS 设备上永远不会安全。
最好的情况是这个文件在服务器上。您下载该文件,对其施展魔法,将密码存储在钥匙串(keychain)中,然后删除该文件。从此以后,只需使用钥匙串(keychain)值即可。
请注意,我不是安全专家,这只是我想到的第一个想法。
编辑 我在假设您已预先加密数据的情况下工作。如果您的应用程序正在加密来自服务器的数据,那么是什么阻止了攻击者简单地从服务器下载数据呢?好吧,假设您为此设置了一些系统,您可以像其他一些答案所说的那样生成一个 key ,然后将其以混淆的形式存储在钥匙串(keychain)中。这样即使攻击者掌握了它,他们也暂时不知道如何处理它。
关于iphone - iOS:在我的代码中硬编码 AES key 是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15194898/
IO 设备如何知道属于它的内存中的值在memory mapped IO 中发生了变化? ? 例如,假设内存地址 0 专用于保存 VGA 设备的背景颜色。当我们更改 memory[0] 中的值时,VGA
我目前正在开发一个使用Facebook sdk登录(通过FBLoginView)的iOS应用。 一切正常,除了那些拥有较旧版本的facebook的人。 当他们按下“使用Facebook登录”按钮时,他
假设我有: this - is an - example - with some - dashesNSRange将使用`rangeOfString:@“-”拾取“-”的第一个实例,但是如果我只想要最后
Card.io SDK提供以下详细信息: 卡号,有效期,月份,年份,CVV和邮政编码。 如何从此SDK获取国家名称。 - (void)userDidProvideCreditCardInfo:(Car
iOS 应用程序如何从网络服务下载图片并在安装过程中将它们安装到用户的 iOS 设备上?可能吗? 最佳答案 您无法控制应用在用户设备上的安装,因此无法在安装过程中下载其他数据。 只需在安装后首次启动应
我曾经开发过一款企业版 iOS 产品,我们公司曾将其出售给大型企业,供他们的员工使用。 该应用程序通过 AppStore 提供,企业用户获得了公司特定的配置文件(包含应用程序配置文件)以启用他们有权使
我正在尝试将 Card.io SDK 集成到我的 iOS 应用程序中。我想为 CardIO ui 做一个简单的本地化,如更改取消按钮标题或“在此保留信用卡”提示文本。 我在 github 上找到了这个
我正在使用 CardIOView 和 CardIOViewDelegate 类,没有可以设置为 YES 的 BOOL 来扫描 collectCardholderName。我可以看到它在 CardIOP
我有一个集成了通话工具包的 voip 应用程序。每次我从我的 voip 应用程序调用时,都会在 native 电话应用程序中创建一个新的最近通话记录。我在 voip 应用程序中也有自定义联系人(电话应
iOS 应用程序如何知道应用程序打开时屏幕上是否已经有键盘?应用程序运行后,它可以接收键盘显示/隐藏通知。但是,如果应用程序在分屏模式下作为辅助应用程序打开,而主应用程序已经显示键盘,则辅助应用程序不
我在模拟器中收到以下错误: ImageIO: CGImageReadSessionGetCachedImageBlockData *** CGImageReadSessionGetCachedIm
如 Apple 文档所示,可以通过 EAAccessory Framework 与经过认证的配件(由 Apple 认证)进行通信。但是我有点困惑,因为一些帖子告诉我它也可以通过 CoreBluetoo
尽管现在的调试器已经很不错了,但有时找出应用程序中正在发生的事情的最好方法仍然是古老的 NSLog。当您连接到计算机时,这样做很容易; Xcode 会帮助弹出日志查看器面板,然后就可以了。当您不在办公
在我的 iOS 应用程序中,我定义了一些兴趣点。其中一些有一个 Kontakt.io 信标的名称,它绑定(bind)到一个特定的 PoI(我的意思是通常贴在信标标签上的名称)。现在我想在附近发现信标,
我正在为警报提示创建一个 trigger.io 插件。尝试从警报提示返回数据。这是我的代码: // Prompt + (void)show_prompt:(ForgeTask*)task{
您好,我是 Apple iOS 的新手。我阅读并搜索了很多关于推送通知的文章,但我没有发现任何关于 APNS 从 io4 到 ios 6 的新更新的信息。任何人都可以向我提供 APNS 如何在 ios
UITabBar 的高度似乎在 iOS 7 和 8/9/10/11 之间发生了变化。我发布这个问题是为了让其他人轻松找到答案。 那么:在 iPhone 和 iPad 上的 iOS 8/9/10/11
我想我可以针对不同的 iOS 版本使用不同的 Storyboard。 由于 UI 的差异,我将创建下一个 Storyboard: Main_iPhone.storyboard Main_iPad.st
我正在写一些东西,我将使用设备的 iTunes 库中的一部分音轨来覆盖 2 个视频的组合,例如: AVMutableComposition* mixComposition = [[AVMutableC
我创建了一个简单的 iOS 程序,可以顺利编译并在 iPad 模拟器上运行良好。当我告诉 XCode 4 使用我连接的 iPad 设备时,无法编译相同的程序。问题似乎是当我尝试使用附加的 iPad 时
我是一名优秀的程序员,十分优秀!