我有很多用于我的 android 应用程序使用的各种身份验证方法的密钥。它们目前是硬编码的,我只需在必要时将密钥传递给服务器。
我想将它们加密存储,并在必要时解密它们。理想情况下,当有人反编译我的应用程序时,他们看不到我的密钥是什么,或者如果他们能看到一些字符串,那么它只是一个没有经过我的解密函数的加密密钥。
我正在寻找处理此问题的最佳做法。
应该有一种加密方法和解密方法,提供足够的熵,人们不会只看我的加密密钥就猜测我是用 base64 或其他已知方法加密的。
见识见识
【问题讨论】:
标签: java android encryption oauth proguard
你不会比一个偶然的攻击者更有威慑力。更不用说任何人都可以确定您的代码的作用以及密钥的加密方式,数据包嗅探器等工具可以轻松地使您的密钥失效。
我建议您转移信任,这样您就不需要验证 android 客户端(可能除了用户拥有的用户名和密码之外)。如果您可以确切地告诉我们您要保护什么,那么我可以编辑此答案以提供有关如何安全保护它的更详细的想法。
【讨论】:
我正在寻找处理此问题的最佳做法。
如果您尝试使用的 API 提供临时令牌(例如,AWS 的令牌自动售货机),请使用它,这样您就不会首先将长期存在的密钥烘焙到应用程序中。或者,正如 hexafraction 建议的那样,为此制定您自己的方案,其中 API 密钥位于您的服务器上,您的应用使用您的服务器代表应用执行操作。
如果您使用的 API 有办法将您对 API 的使用与应用的签名密钥(例如 Play 服务)联系起来,那么没有您的签名密钥就无法使用您的 API 密钥,因此它可以找到不是问题。
欢迎您使用DexGuard,它会加密您应用中的数据。这并不能阻止一个坚定的黑客,但它至少会减慢一个黑客的速度。随便的黑客很可能会绕过您的应用,然后攻击较弱的猎物。
如果这些都不是一个选项,请不要担心。例如,如果您是独立开发者,并且被盗的 API 密钥是您最关心的 100 个问题,那么您担心的太多了。只需计划定期轮换密钥(例如,每次应用程序更新),最终在不再使用旧密钥时将其淘汰,以最大程度地降低如果某些攻击者确实获得了您的密钥而造成损坏的风险。你有更大的鱼要炒,比如你将如何推销应用程序。
特别是,滚动您自己的加密货币,而不是仅仅购买 DexGuard,是浪费时间。如果你负担不起 DexGuard 许可费,你也不能为推出自己的加密货币而大惊小怪。就保护您的密钥而言,您自己的加密货币值得花时间编写它的可能性很小。
【讨论】: