我阅读了 http://developer.android.com/training/articles/keystore.html 中的 Android 文档 但是我遗漏了一些细节......
如果应用程序使用 AndroidKeyStore 生成 key (对称或非对称)。
我们可以从该 keystore 中提取 key 吗?
其他应用程序(AppB)能否访问 AppA 生成的 key ?
在哪些情况下可能会丢失 key ?设备仅恢复出厂设置?
谢谢。
最佳答案
您可以使用普通的 KeyStore文件或 Android KeyStore Provider .
您必须创建一个 KeyStore 文件,并且您还必须管理访问它的 key 。这个 secret 非常敏感,很难对攻击者隐藏。就我个人而言,我更愿意将这个责任委托(delegate)给 Android 系统,这就是为什么我不选择这个解决方案而不是下一个解决方案的原因。
使用此 API,您将在 Android 上委派管理文件和 secret 的所有繁重工作。您不需要使用任何密码,因为操作系统本身会根据您的锁屏 PIN 码、密码、图案和其他变量存储它。
如果设备包含嵌入式安全硬件,则 key 将存储在那里(例如,可信执行环境 (TEE))。您可以查看KeyInfo#isInsideSecureHardware()方法来查看 key 是否保存在那里。这种硬件机制为我们提供了额外的保护,以防我们的应用运行到受损的 Linux 内核中。
此外,从 Android 9(API 级别 28)开始,StrongBox Keymaster为那些包含安全芯片的设备引入了 API(如 Google Pixel 3 上的 Titan M)。如果您在 Android 28 或更高版本上运行,您只需调用 setIsStrongBoxBacked(boolean)如果它在设备上可用,让 Android 知道你想使用它的方法。尽管上述 TEE 解决方案是可以接受的,但这种使用安全元件 (SE) 的机制是最安全的,因为它基于为安全目的而设计的不同硬件(CPU、内存、存储等)。
这里我们将有一个快速示例,说明如何使用 StrongBox 创建自签名证书和 key 对(如果支持):
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.M) {
KeyPairGenerator.getInstance(KeyProperties.KEY_ALGORITHM_RSA, "AndroidKeyStore")
.apply {
val certBuilder = KeyGenParameterSpec.Builder(alias, KeyProperties.PURPOSE_ENCRYPT)
.setKeyValidityStart(keyValidityStart)
.setKeyValidityEnd(keyValidityEnd)
.setCertificateSerialNumber(BigInteger.valueOf(1L))
.setCertificateSubject(X500Principal("CN=MyCompany"))
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.P) {
initialize(
certBuilder
.setIsStrongBoxBacked(true) /* Enable StrongBox */
.build()
)
} else {
initialize(certBuilder.build())
}
}
.also {
val keyPair = it.generateKeyPair()
...
}
}
关于您的问题:
Can we extract the key from that KeyStore?
您的应用程序可以通过这两者获得 PrivateKey如果这是您的意思,请使用它。
Can another application (AppB) access the key generated by AppA?
使用 KeyStore 提供程序解决方案,每个应用程序只能访问其 KeyStore 实例或别名。相反,如果另一个应用程序可以访问该文件,它可能会尝试攻击它,则使用普通的 KeyStore。
In which case we may loose the key? Device Factory reset only?
删除应用程序将删除应用程序的 KeyStore 提供程序实例。然而,由于 a nasty bug Android(在 Android 5 之前更常见)如果用户将锁屏模式更改为密码或只是删除模式,KeyStore 将完全损坏。当用户从 Android 设置执行“清除凭据”时也会发生同样的情况。使用经典的 KeyStore,您可以将其存储在外部存储中,即使在设备恢复出厂设置后也可以保留。但是,如前所述,它仍然不如提供者安全。
我可能在某些方面是错误的,但这是我学到的,我只是分享了我的经验。希望这对您有所帮助。
关于android - Android Keystore 系统如何保证安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35782807/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/
我有一个对象has_many应呈现为xml的子对象。这不是问题。我的问题是我创建了一个Hash包含此数据,就像解析器需要它一样。但是rails自动将整个文件包含在.........我需要摆脱type="array"和我该如何处理?我没有在文档中找到任何内容。 最佳答案 我遇到了同样的问题;这是我的XML:我在用这个:entries.to_xml将散列数据转换为XML,但这会将条目的数据包装到中所以我修改了:entries.to_xml(root:"Contacts")但这仍然将转换后的XML包装在“联系人”中,将我的XML代码修改为
我有一大串格式化数据(例如JSON),我想使用Psychinruby同时保留格式转储到YAML。基本上,我希望JSON使用literalstyle出现在YAML中:---json:|{"page":1,"results":["item","another"],"total_pages":0}但是,当我使用YAML.dump时,它不使用文字样式。我得到这样的东西:---json:!"{\n\"page\":1,\n\"results\":[\n\"item\",\"another\"\n],\n\"total_pages\":0\n}\n"我如何告诉Psych以想要的样式转储标量?解