Ocultar clave de cifrado en la aplicación de Android
Quiero ocultar algunos datos que es ingresado por el usuario en el teléfono del usuario cifrado. Por lo que sé puedo cifrar / descifrar datos usando un valor de clave / semilla, pero si ocultar el valor de clave en código, sé que se puede encontrar de alguna manera (por ejemplo, la descompilación del código Java).
¿Tiene alguna sugerencia para hacer el proceso más difícil?
- Problema al usar la huella dactilar de Android: IV necesaria al descifrar. Utilice IvParameterSpec o AlgorithmParameters para proporcionarlo
- Error: 0D0680A8: rutinas de codificación asn1: ASN1_CHECK_TLEN: etiqueta errónea al importar clave pública RSA
- Cómo cifrar valores de sesión en Android
- Encriptación AES: InvalidKeyException: Longitud de clave no 128/192/256 bits
- ¿Cómo utilizo una clave pública RSA generada en C # en Android?
- ¿Cuál es el estado actual del cifrado de la aplicación de Android?
- ¿Cómo generar la misma clave AES en Java (Android) como en .Net?
- Cifrado de archivos con AES en Android
- Encriptación de contraseña de Android SQlite?
- Uso de cifrado basado en contraseña en android
- Grabación cifrada y carga descifrada de un ArrayList de objetos serializables
- Android: ¿Cómo obtener la encriptación Wifi actual?
- Cifrado entre Android y C #
Es imposible ocultar la clave en la aplicación de tal manera que un hacker ingenioso no será capaz de sacarlo. Usted puede tratar de ofuscar la clave y hacer que sea difícil de encontrar, pero siempre será capaz.
Vea esto: https://www.excelsior-usa.com/articles/java-obfuscators.html#examples
La mejor opción sería exigir a sus usuarios que especifiquen un PIN o una contraseña y utilizarlo como clave de cifrado. De esta forma, si el dispositivo se pierde o es robado, la clave sigue siendo segura y también evita que alguien descompilie su aplicación y obtenga la clave de cifrado para todas las instancias de su aplicación.
Una de las nuevas características de Ice Cream Sandwich (Android 4.0) es el keychain API . Desde la página de Destacados de la Plataforma (énfasis mío):
Android 4.0 facilita que las aplicaciones administren la autenticación y las sesiones seguras. Un nuevo API de llavero y el almacenamiento cifrado subyacente permiten que las aplicaciones almacenen y recuperen claves privadas y sus correspondientes cadenas de certificados. Cualquier aplicación puede utilizar la API de llavero para instalar y almacenar certificados de usuario y CA de forma segura .
Si está haciendo esto para los datos de nombre de usuario / contraseña, debe realizar la comprobación implementando un autenticador .
Desde android no tiene ningún almacenamiento seguro en él (al menos como de 2,2), usted tendría que escribir su propio.
La única manera de hacerlo con seguridad es encriptar con una clave derivada de una contraseña suministrada por el usuario (PBKDF2 / RFc2898 es el camino a eso). Crypto es tan seguro como tu llave y si lo guardas en el teléfono de todos modos, entonces alguien puede encontrarlo y usarlo. Esto le permite al usuario almacenar la clave sin recordar realmente una tecla AES grande.
Puede haber bibliotecas que hagan esto por android. Escribí uno para Windows Phone que se puede encontrar aquí si desea alguna base para la forma de hacerlo.
Si el cifrado / descifrado todo sucede en el microteléfono, un hacker determinado será capaz de romperlo. Puede hacer que la vida más difícil mediante obfustication, o (si es apropiado para su aplicación), la adición de entrada de usuario en el código de cifrar / descifrar.
Si su aplicación requiere conectividad de red, puede valer la pena cargar parte del código a un servidor que se ejecuta en otro lugar, de modo que los datos cifrados vivan en el dispositivo, pero las claves se descargan en tiempo de ejecución. Aún no es una prueba de hack, pero reduce los riesgos a los datos confidenciales en un dispositivo robado.
- Bluetooth -> fallo en el descubrimiento del servicio
- Implementar una lista con divisor de sección en android