android - 如何安全地存储 Android KeyStore 密码-6ren

android - 如何安全地存储 Android KeyStore 密码

转载作者：塔克拉玛干更新时间：2023-11-02 20:46:08

27

4

在一个应用程序中，我使用了 Android KeyStore。我已经为整个 KeyStore 和每个密码条目设置了密码。由于这些密码是字符串，因此它们存储在代码中的字符串成员中。

显然，如果我想发布应用程序，这并不安全，因为潜在的攻击者可以反编译 apk 并获取密码，因为它是硬编码在应用程序中的。

我的问题是:

在上面的场景中:攻击者是否能够读取我的 keystore 文件，或者(在无根电话上)该文件是否只能由我的应用程序访问，因此仅凭密码是不够的？
处理 KeyStore 密码的最佳做法是什么？我环顾四周，但没有找到如何处理这个问题的明确答案。

为澄清而编辑:我不谈论应用程序签名，而是谈论将加密 key 存储在受密码保护的 Android KeyStore 中。应用程序必须在运行时访问密码才能检索 key 条目。

当前代码示例:

String keyStorePwd = "password1";
String keyEntryPwd = "password2";

FileInputStream fis = getApplicationContext().openFileInput("sms.keystore");
KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());

ks.load(fis, keyStorePwd.toCharArray());

SecretKey key = (SecretKey) ks.getKey("aes_key_sms_notifier", keyEntryPwd.toCharArray());
fis.close();

最佳答案

不建议在您的 APK 中存储密码。当我们谈论 keystore 密码时更多。是的，攻击者可以而且将会找到读取密码的方法，因为他们就是这样做的。鲁莽地阅读 APK 中包含的密码。假设您使用 gradle，有一种使用 gradle 指定的方法来存储 keystore 密码。

属性文件
如果您使用的是版本控制，请修改您的 .gitignore 文件以排除 keystore.properties，该文件将包含您的密码。然后将其推送到 repo 协议(protocol)中。这样做将防止共享项目中的其他开发人员知道 keystore 的详细信息。您现在可以在项目的根目录中创建实际的 keystore.properties 文件。该文件应包含以下内容:

keyAlias yourKeyAlias  
keyPassword yourKeyPassword  
storeFile pathOfYourKeyStoreFile  
storePassword passwordOfYourKeyStoreFile

渐变
设置完 keystore.properties 文件后，通过在 android { ... } 子句之外定义一个属性变量来修改模块级 gradle 构建文件，例如:

def keystorePropertiesFile= rootProject.file("keystore.properties")  
def keystoreProperties = new Properties()  
keystoreProperties.load(new FileInputStream(keystorePropertiesFile))  

android { ... }

在 android { ... } 中，声明 signingConfigs { ... } 这样:

android {
  signingConfigs {
    config {
      keyAlias keystoreProperties['keyAlias']
      keyPassword keystoreProperties['keyPassword']
      storeFile file(keystoreProperties['storeFile'])
      storePassword keystoreProperties['storePassword']
    }
  }

  ...........  

}

最后，仍然在模块级 gradle 构建文件的 android { ... } 中，您应该有 buildTypes { ... } 子句默认包含 debug { ... } 和 release { ... } 配置。修改 release 配置，这样:

  buildTypes {
    debug {
      *insert debug configs here*
    }
    release {
      *insert release configs here*

      signingConfig signingConfigs.config
    }
  }

在 release { ... } 中定义 signingConfig signingConfigs.config 将允许您在选择创建发布版本时自动签署 APK，所有这些都无需将您的 keystore 密码存储在您的 APK 中。干杯!

关于android - 如何安全地存储 Android KeyStore 密码，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/41691000/

27

4

0

文章推荐： javascript - 将 GeoJSON 对象转换为 Javascript 数组

文章推荐： javascript - 禁用选择输入 Shiny

文章推荐： Android 通知不显示超过 3 个操作

keystore - jarsigner 错误 : java. lang.RuntimeException: keystore 加载: keystore 格式无效
当我在工作区执行 certsign.sh 脚本时，出现以下错误 jarsigner 错误:java.lang.RuntimeException: keystore 加载:无效的 keystore 格式
keystore - 如何生成 keystore 和信任库
如何: 生成 keystore 生成信任库为了让 SSL 在客户端和服务器之间工作，我只需要的帮助使用终端命令(Keytool 和 openssl)生成用于相互身份验证的 keystore 和信任
keystore - 信任库和 keystore 定义
keystore 和信任库之间有什么区别？最佳答案 keystore 包含私钥以及证书及其相应的公钥。信任库包含来自您希望与之通信的其他方的证书，或来自您信任的可识别其他方的证书颁发机构的证书。
keystore - 如何将x509.pem pk8文件导入jks-keystore？
我已经尝试使用命令 keytool -import -keystore *.jks -alias alias_name -keypass alias_passwd -file *.x509.pem`
keystore - .keystore 文件和 .jks 文件之间的区别
我试图找出.keystore文件和.jks文件之间的区别，但我找不到它。我知道 jks 代表“Java keystore”，两者都是存储键/值对的一种方式。使用其中一种与另一种相比有什么区别或偏好吗
Java keystore - 以编程方式从 keystore 文件中选择要使用的证书
我有一个包含多个客户端证书的 Java keystore 文件。我希望在我的 Java 应用程序中仅选择这些证书之一来连接到服务。有没有简单的方法可以做到这一点？到目前为止，我找到解决方案的唯一方法是
android - 以编程方式检测调试 keystore 或发布 keystore
我想知道是否有一种方法可以检测程序是在默认(调试) keystore (从 eclipse 运行时)还是在签名 keystore (发布到 Android 市场时)上运行我在我的应用程序中使用谷歌地
java.sql.SQLNonTransientConnectionException: Cannot open file:keystore.jks [Keystore was tampered with, or password was incorrect](异常：无法打开文件：keystore.jks[密钥库被篡改，或密码不正确])
我是Java世界的新手，虽然使用NetBeans代码创建Web应用程序工作正常，直到执行get方法，但当我试图执行SQL查询时，glassfish无法显示来自MSQL DB的数据并给出错误。我正在使用
azure - 如何从 keystore 检索证书并将其导入到另一个 keystore 而不保存它？
在 Azure 管道中有以下任务 AzureResourceManagerTemplateDeployment@3 从 ARM 模板部署 Key Vault 然后，AzurePowerShell@5
java - 创建 keystore 并将证书附加到其中后， keystore 格式无效
我正在使用以下命令使用 OpenSSL 创建 keystore : openssl pkcs12 -export -in mycert.crt -inkey mykey.key \
azure - 如何从 keystore 检索证书并将其导入到另一个 keystore 而不保存它？
在 Azure 管道中有以下任务 AzureResourceManagerTemplateDeployment@3 从 ARM 模板部署 Key Vault 然后，AzurePowerShell@5
java - 加载 keystore 文件时出现无效 keystore 格式异常
我使用下面的代码尝试加载 keystore 文件，但收到 java.io.IOException: 无效的 keystore 格式异常。关于如何解决此问题或导致问题的原因有什么想法吗？加载 keys
keystore - 将 keystore 导入到 artifactory 中不会显示任何可用的别名
我目前正在评估 Artifactory Pro 版本的 jar 签名功能。我正在按照此处找到的手册进行操作:https://www.jfrog.com/confluence/display/RTF/W
Java Keystore 无法将 X509Certificate 添加到 Keystore
当我尝试将证书添加到 Keystore 时，我遇到了一个奇怪的错误。 System.out.println(x509Certificate.getPublicKey()); // prints pub
java - Keystore -- 从命令行自定义 SecretKey 进入 Keystore
作为加密和保存数据的一部分，我们使用 AES 算法和 openssl 生成了 key 。 openssl enc -aes-256-cbc -P -nosalt Openssl 已生成 KEY 和 I
android - 丢失旧 keystore ，需要使用新 keystore 对应用程序进行签名
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: I lost my .keystore file! 我丢失了在 Market 上发布的 Android 应用
android - 如何从 keystore 密码重新生成 .keystore 文件
我不小心删除了我的应用程序的 .keystore 文件，但我仍然有用于生成 .keystore 文件的 Keystore 密码。有什么方法可以使用密码恢复该文件吗？最佳答案不，这不可能。一旦你失去
java - 如何在运行时使用新上传的 keystore 文件更新 keystore 属性？
我正在访问一个 https URL，证书已添加到我的应用程序 keystore 属性中。但是，目标 https URL 的证书最近发生了变化。我们不想重新编译代码并使用更新后的 keystore
Java:从 keystore 文件确定 keystore 的类型
所以我有一个应用程序，允许用户使用 HTTPS 配置服务器。服务器使用 Undertow。要向 Undertow 添加 HTTPS 处理程序，我需要调用 Keystore.getInstance("J
java - 何时安装 keystore 以及何时只安装包装在 keystore 中的证书
这个问题在这里已经有了答案: Truststore and Keystore Definitions (7 个答案) 关闭 6 年前。我有一个 PKCS#12我将其视为 keystore 文件，因

首页

博学

6Ren·AI

商城

android - 如何安全地存储 Android KeyStore 密码