gpt4 book ai didi

android - 保护 Android 应用程序中的 ECC key

转载 作者:行者123 更新时间:2023-11-29 23:18:57 25 4
gpt4 key购买 nike

我已经使用 ECC key 对完成了一个 Android 应用程序。当我去年开发它时,我想在 Android Keystore 中创建 ECC key 。不幸的是,由于 ECDH,此 ECC key 用于生成 session key , 和 ECDH Android Keystore 不支持(这是我在这里所说的:ECDH with key in Android Key Store)

我遵循了建议:我在 Android KeyStore 中创建了一个 AES key ,并在将 ECC key 存储在 SharedPreferences 之前使用它对其进行加密。 Android KeyStore 确保无法提取 AES key ,并且只有我的应用程序可以使用它来解密 ECC key 。

我现在有一个问题需要您的建议:

如果有人在 root 手机上安装我的应用程序,获取 APK,反编译并修改它以在读取和解密后打印 ECC key 怎么办?我没有这种技能,但我猜有些黑客有。如果可行,则说明我使用的保护效果不佳。

在我的情况下使用 ECDH 是没有商量余地的那么我有什么解决方案来保护我的 ECC key 对?

谢谢

最佳答案

除非有安全硬件支持,否则无法确保 key 不可提取。

对于已获得 root 权限的手机,攻击者无需修改和重新安装您的 APK 即可使用您的 key 。该设备上具有 root 权限的任何应用程序都可以挂接到您的应用程序并表现得像它。即使在受信任的环境中,他们也可以使用您的硬件支持 key 。他们唯一不能做的就是从设备中提取 key 。

您可能想阅读有关 TEE 和 AndroidKeyStore 的相对较旧的论文:http://www.cs.ru.nl/~joeri/papers/spsm14.pdf .特别是“设备绑定(bind)结果概述”

为了减少攻击面,您可以:

关于android - 保护 Android 应用程序中的 ECC key ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54789464/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com