个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我想在我的 Android 上为客户端双向 TLS 使用硬件支持的 key 。 key 应使用生物识别技术解锁。
我找到了如何在 Android 上生成硬件支持的 key 对:
KeyPairGenerator keyGenerator = KeyPairGenerator.getInstance( KeyProperties.KEY_ALGORITHM_RSA, "AndroidKeyStore");
keyGenerator.initialize(
new KeyGenParameterSpec.Builder(myAlias, KeyProperties.PURPOSE_ENCRYPT | KeyProperties.PURPOSE_DECRYPT)
.setDigests(KeyProperties.DIGEST_SHA256, KeyProperties.DIGEST_SHA512)
.setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_RSA_PKCS1)
.setUserAuthenticationRequired(true)
.build());
keyGenerator.generateKeyPair();
以及如何使用指纹解锁硬件支持的私钥:
FingerprintManager fingerprintManager = (FingerprintManager) this.getSystemService(Context.FINGERPRINT_SERVICE);
PrivateKey key = (PrivateKey) keyStore.getKey(myAlias, null);
Cipher cipher = Cipher.getInstance(cipherAlgorithm, "AndroidKeyStore");
cipher.init(Cipher.DECRYPT_MODE, key);
FingerprintManager.CryptoObject cryptoObject = new FingerprintManager.CryptoObject(cipher);
fingerprintManager.authenticate(cryptoObject, cancellationSignal, 0, authenticationCallback, null);
我还可以将 HttpClient 配置为使用客户端证书:
// I have loaded the PrivateKey privateKey and Certificate certificate from PEM files
KeyStore keyStore = KeyStore.getInstance("PKCS12");
keyStore.load(null);
final char pseudoSecretPassword[] = ("##" + System.currentTimeMillis()).toCharArray();
keyStore.setKeyEntry(
PKIModule.DEFAULT_KEYSTORE_ALIAS,
privateKey,
pseudoSecretPassword,
new Certificate[] {certificate}
);
KeyManagerFactory kmf = KeyManagerFactory.getInstance("X509");
kmf.init(keyStore, pseudoSecretPassword);
KeyManager[] keyManagers = kmf.getKeyManagers();
SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
sslContext.init(keyManagers, trustManagers, new SecureRandom());
OkHttpClient newClient = new OkHttpClient.Builder()
.sslSocketFactory(sslContext.getSocketFactory())
.build();
但是我没有找到直接解锁硬件支持的私钥以用于 SSLContext 使用的 KeyManager 的方法,因为解锁机制适用于加密对象而不是私钥。
如何让生物识别 key 解锁和 TLS 客户端证书在 Android 上协同工作?
按照@pedrofb 的观点,我更新了我的代码以使用KeyProperties.PURPOSE_SIGN 和KeyProperties.DIGEST_NONE 生成 key 对。我使用导入到服务器信任库中的 CA 签署了客户端 key 对。以及基于 AndroidKeyStore 创建客户端的 KeyManager:
KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
keyStore.load(null);
KeyManagerFactory factory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
factory.init(keyStore, null);
KeyManager[] keyManagers = factory.getKeyManagers();
sslContext.init(keyManagers, trustManagers, new SecureRandom());
但是这失败了
W/CryptoUpcalls: Preferred provider doesn't support key:
W/System.err: java.security.InvalidKeyException: Keystore operation failed
at android.security.KeyStore.getInvalidKeyException(KeyStore.java:1256)
at android.security.KeyStore.getInvalidKeyException(KeyStore.java:1281)
at android.security.keystore.KeyStoreCryptoOperationUtils.getInvalidKeyExceptionForInit(KeyStoreCryptoOperationUtils.java:54)
at android.security.keystore.AndroidKeyStoreSignatureSpiBase.ensureKeystoreOperationInitialized(AndroidKeyStoreSignatureSpiBase.java:219)
at android.security.keystore.AndroidKeyStoreSignatureSpiBase.engineInitSign(AndroidKeyStoreSignatureSpiBase.java:99)
at android.security.keystore.AndroidKeyStoreSignatureSpiBase.engineInitSign(AndroidKeyStoreSignatureSpiBase.java:77)
at java.security.Signature$Delegate.init(Signature.java:1357)
at java.security.Signature$Delegate.chooseProvider(Signature.java:1310)
at java.security.Signature$Delegate.engineInitSign(Signature.java:1385)
at java.security.Signature.initSign(Signature.java:679)
at com.android.org.conscrypt.CryptoUpcalls.rawSignDigestWithPrivateKey(CryptoUpcalls.java:88)
at com.android.org.conscrypt.NativeCrypto.SSL_do_handshake(Native Method)
at com.android.org.conscrypt.NativeSsl.doHandshake(NativeSsl.java:383)
at com.android.org.conscrypt.ConscryptFileDescriptorSocket.startHandshake(ConscryptFileDescriptorSocket.java:231)
at okhttp3.internal.connection.RealConnection.connectTls(RealConnection.java:336)
at okhttp3.internal.connection.RealConnection.establishProtocol(RealConnection.java:300)
at okhttp3.internal.connection.RealConnection.connect(RealConnection.java:185)
at okhttp3.internal.connection.ExchangeFinder.findConnection(ExchangeFinder.java:224)
at okhttp3.internal.connection.ExchangeFinder.findHealthyConnection(ExchangeFinder.java:107)
at okhttp3.internal.connection.ExchangeFinder.find(ExchangeFinder.java:87)
at okhttp3.internal.connection.Transmitter.newExchange(Transmitter.java:169)
at okhttp3.internal.connection.ConnectInterceptor.intercept(ConnectInterceptor.java:41)
at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:142)
at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:117)
at okhttp3.internal.cache.CacheInterceptor.intercept(CacheInterceptor.java:94)
at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:142)
at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:117)
at okhttp3.internal.http.BridgeInterceptor.intercept(BridgeInterceptor.java:93)
at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:142)
at okhttp3.internal.http.RetryAndFollowUpInterceptor.intercept(RetryAndFollowUpInterceptor.java:88)
at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:142)
at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:117)
at okhttp3.RealCall.getResponseWithInterceptorChain(RealCall.java:221)
at okhttp3.RealCall.execute(RealCall.java:81)
at com.jemmic.secuchat.biometriccrypto.MainActivity.testMutualTLS(MainActivity.java:402)
at com.jemmic.secuchat.biometriccrypto.MainActivity.access$300(MainActivity.java:87)
at com.jemmic.secuchat.biometriccrypto.MainActivity$TestMutualTlsTask.doInBackground(MainActivity.java:315)
at com.jemmic.secuchat.biometriccrypto.MainActivity$TestMutualTlsTask.doInBackground(MainActivity.java:311)
at android.os.AsyncTask$2.call(AsyncTask.java:333)
at java.util.concurrent.FutureTask.run(FutureTask.java:266)
at android.os.AsyncTask$SerialExecutor$1.run(AsyncTask.java:245)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1167)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:641)
at java.lang.Thread.run(Thread.java:764)
W/System.err: Caused by: android.security.KeyStoreException: Incompatible padding mode
at android.security.KeyStore.getKeyStoreException(KeyStore.java:1159)
... 43 more
W/CryptoUpcalls: Could not find provider for algorithm: NONEwithRSA
最佳答案
一些注意事项:
key 不受硬件支持,除非设备有硬件支持。您可以使用 KeyInfo.isInsideSecurityHardware() 检查 key 是否存储在安全硬件中。
TLS 需要数字签名,但您的 key 是为加密目的而创建的。您需要将 KeyProperties.PURPOSE_ENCRYPT 更改为 KeyProperties.PURPOSE_SIGN
FingerprintManager 封装了 Signature 对象的使用,但它没有扩展默认 KeyManager 所需的 java.security.KeyStore
TLS 需要直接管理私钥,因为TLS 协议(protocol)在握手时使用特定的算法对部分共享数据进行签名。要使用 FingerprintManager,底层加密提供程序应直接支持它。
我相信你可以得到同样的结果:
1- 用指纹解锁想要的 key
2- 将 AndroidKeyStore 提供给 KeyManagerFactory
KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
keyStore.load(null,null);
KeyManagerFactory kmf = KeyManagerFactory.getInstance("X509");
kmf.init(keyStore, pseudoSecretPassword);
我认为这个解决方案可行,但是您您需要将证书关联到与服务器发送的已接受 CA 列表相匹配的私钥,因此您必须颁发证书使用公钥并将其存储在与私钥关联的 android keystore 中。
你没有提到你是否要使用这种风格的解决方案,它非常复杂
如果您不打算使用证书,您可以编写自己的 KeyManager 以在 TLS 握手期间检索正确的 PrivateKey。在这里查看我的回答,它与您的用例非常相似,但使用 AndroidKeyChain 而不是 AndroidKeyStore
Request with automatic or user selection of appropriate client certificate
关于android - 在 SSLContext 中使用硬件支持的 key ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55692965/
26
4
0
我正在尝试在 GWT Jetty 开发模式下执行以下代码 final SSLContext sslContext = SSLContext.getInstance(PROTOCOL);
如何将 javax.net.ssl.SSLContext 转换为 io.netty.handler.ssl.SslContext ?我可以访问 SSLContext,但需要在我的客户端库中设置 SSl
我正在开发一个应用程序,它是一个独立的应用程序,并将其打包为 jar 文件(类似于 OSGi 插件),并将该 jar 部署到 JBoss 。 当我在 Eclipse 中运行应用程序时,应用程序工作正常
我在以下远程服务器设置上使用 Python 3.6.5: Server: Windows 10 Python: 3.6.5 Requests: 2.18.4 Pentaho: 8.0 当我在服务器命令
我试图弄清楚如何使用 Request 指定 SSLContext。 我有两个功能理论上应该做同样的事情,但是带有 Requests 的那个不起作用。 def func_OK(token): c
我有以下简单的类(class): 导入 javax.net.ssl.SSLContext; public class AClass { public void someMethod() thr
我有以下简单的类(class): 导入 javax.net.ssl.SSLContext; public class AClass { public void someMethod() thr
请帮助了解如何向 SSL 上下文提供证书链。 简介:我正在使用 EWSJavaAPI 1.2 连接到 ms Exchange。它使用带有双向身份验证的 TLS 连接,基于我自己的公司颁发的证书,该证书
基于 Jcs ( HttpUnit WebConversation SSL Issues ) 的回答,我尝试用我自己的信任管理器替换 SSLContext.getDefault()。 SSLConte
我见过很多构造一个将接受所有服务器证书的 SSLContext 的例子。对于我的测试用例,我试图做完全相反的事情并强制客户端拒绝服务器的证书。 所以我正在尝试创建一个不包含根证书的 KeyStore
我正在尝试创建自己的 HTTPS 服务器,并且有两个代码片段: 第一个: private SSLContext createSSLContext() throws KeyStoreException,
在测试我的客户端-服务器分布式系统时,一开始我很惊讶地发现 TLS 的默认 JSSE 实现不进行主机名验证。我在 this 中尝试了接受的答案问题,但我的用例有点不同。我使用 RabbitMQ 的连接
我使用 OpenSSL 库在 Ruby 中编写了以下代码,该库从 cloudflare.com 获取证书链。但是 Cloudflare 有一个混合系统,旧浏览器接收 RSA 证书,新客户端接收 ECD
整个代码比较复杂,直接进入正题。代码如下 SSLContext ctx = SSLContext.getInstance("TLS"); 如果您阅读 docs对于它说的 getInstance(Str
当我尝试使用 getServerSocket 方法初始化 SSLServerSocket 时,如下所示,并定义了 keystore : public static ServerSocket getSe
我像这样使用 Java 6 (SunJSSE) 中的默认 JSSE 提供程序, SSLContext sslCtx = SSLContext.getInstance("TLS"); 我可以从多个线程安
我正在以标准方式创建 SSLContext: 获取.p12证书文件, 创建 keystore 并将证书加载到其中, 创建 KeyManagerFactory,使用 KeyStore 初始化它,并获取
如果我使用以下代码是因为我想更改证书的验证方式。 trm = 一些信任经理 SSLContext sc = SSLContext.getInstance("SSL"); sc.init(null, n
我的问题的基本组成部分是(上下文跟随代码片段) 以下代码是否是通过 -Djavax.net.ssl.keystore 设置默认 Java keystore 的有效替代方法? 除了更改默认 key 和信
我们接到电话SSLContext.getInstance("TLS")报告为漏洞。推荐的修复方法是使用 SSLContext.getInstance("TLSv1.2") . 我了解到自 2021 年
我是一名优秀的程序员,十分优秀!