Android 保存私密信息-强大的 keyStore

MuhFurr 4年前
   <p>这里讨论下如何使用 <strong>Android Keystore</strong> 保存密码等敏感信息,如何加密、解密数据。</p>    <p>在开始讨论之前我们先搞清楚一些基础知识。Keystore不只是可以保存密码,还可以保存敏感数据,而且它的实现方式使得黑客或者恶意程序很难破信息。</p>    <p>利用 Android 密钥库系统,您可以在容器中存储加密密钥,从而提高从设备中提取密钥的难度。在密钥进入密钥库后,可以将它们用于加密操作,而密钥材料仍不可导出。此外,它提供了密钥使用的时间和方式限制措施,例如要求进行用户身份验证才能使用密钥,或者限制为只能在某些加密模式中使用。</p>    <p>一个应用程式只能编辑、保存、取出自己的密钥。这个概念很简单,但是功能很强大。App可以生成或者接收一个公私密钥对,并存储在Android的Keystore系统中。公钥可以用于在应用数据放置到特定文件夹前对数据进行加密,私钥可以在需要的时候解密相应的数据。</p>    <p>如果你只是想看代码,可以直接点击 <strong>这里</strong> 。</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/e86a2d065e8f759dc7d0b27c040cba57.jpg"></p>    <p>简单起见,我写了一个demo演示如何使用Android Keystore保存密码,加密、显示加密形式以及解密。</p>    <p>这里我就不写xml了,都是一些简单的东西,我在文后贴出所有的代码。</p>    <p>我这里新建了2个类文件。一个是EnCryptor,另一个是Decryptor。通过名字很容易知道其功能。</p>    <h2>创建新密钥</h2>    <p>在开始编码之前,我们需要给加密/解密数据的别名进行命名,名字可以是任意字符串,但是不可以是空字符串。别名是显示在Android Keystore中生成的密钥的名字。</p>    <p>首先我们需要获取Android KeyGenerator 的实例:</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/2e19d5c1b2674cb5e1ddd947290b30ce.jpg"></p>    <p>这里我们设置使用KeyGenerator的生成的密钥加密算法是AES,我们将在AndroidKeyStore中保存密钥/数据。</p>    <p>接下来我们能使用 KeyGenParameterSpec.Builder 创建 KeyGenParameterSpec ,传递给KeyGenerators的init方法。</p>    <p>KeyGenParameterSpec是什么,可以把它当作我们要生成的密钥的参数。例如,我们需要给密钥设置一个特定的过期时间。</p>    <p>KeyGenParameterSpec的代码:</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/f95b036d90188d00f56dc14f47d7391c.jpg"></p>    <p>首先我们传递了一个别名,这个名字可以是任意的,之后我们设置意图,是加密还是解密数据。</p>    <p>setBlockMode保证了只有指定的block模式下可以加密,解密数据,如果使用其它的block模式,将会被拒绝。可以在 <strong>这里</strong> 查看不同的block模式。</p>    <p>我们使用了“AES/GCM/NoPadding”变换算法,还需要设置KeyGenParameterSpec的padding类型。</p>    <h2>加密数据</h2>    <p>以上的执行完之后,加密数据非常简单:</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/3c88f52855f19ab0b8a93a077ed6855f.jpg"></p>    <p>首先我们使用keyGenParameterSpec初始化KeyGenerator,之后我们生成了 <strong>SecretKey</strong> 。</p>    <p>现在我们有了secretkey,我们可以初始化 <strong>Cipher</strong> 对象,这将是实际的加密过程。我们需要设置Clipher编码类型:</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/5502cdf56ef426bd4fb0899d6d35afbc.jpg"></p>    <p>之后我们有了 <strong>ciphers initialization vector (IV)</strong> 的引用,可以用于解密。我们使用 doFinal(textToEncrypt) 拿到了最终的编码, doFinal(textToEncrypt) 返回的就是最重的加密数据。</p>    <h2>解密</h2>    <p>获取KeyStore实例:</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/eb9c951fe3520461c465804d6f71e1d2.jpg"></p>    <p>我们用keyStore获取我们的secret key,我们还需要一个SecretKeyEntry:</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/2fd564c653b5ec8460d90aed81a1c549.jpg"></p>    <p>之前KeyGenParameterSpecs中设置的block模式是KeyProperties.BLOCK_MODE_GCM,所以这里只能使用这个模式解密数据。</p>    <p>我们需要为 GCMParameterSpec 指定一个认证标签长度(可以是128、120、112、104、96这个例子中我们能使用最大的128),并且用到之前的加密过程中用到的IV。</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/1dfff2993dab35be120530e7dff12ee3.jpg"></p>    <p>获取加密数据:</p>    <p>获取解密数据:</p>    <p>这就是整个过程了。</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/21cf6be3ec6a57b23aa4351ddcc17cd5.jpg"></p>    <p> </p>    <p>来自:http://mp.weixin.qq.com/s/S8v994Q6-A4TOmC9VlVCNQ</p>    <p> </p>