Android 保存私密信息-强大的 keyStore

这里讨论下如何使用 Android Keystore 保存密码等敏感信息,如何加密、解密数据。

在开始讨论之前我们先搞清楚一些基础知识。Keystore不只是可以保存密码,还可以保存敏感数据,而且它的实现方式使得黑客或者恶意程序很难破信息。

利用 Android 密钥库系统,您可以在容器中存储加密密钥,从而提高从设备中提取密钥的难度。在密钥进入密钥库后,可以将它们用于加密操作,而密钥材料仍不可导出。此外,它提供了密钥使用的时间和方式限制措施,例如要求进行用户身份验证才能使用密钥,或者限制为只能在某些加密模式中使用。

一个应用程式只能编辑、保存、取出自己的密钥。这个概念很简单,但是功能很强大。App可以生成或者接收一个公私密钥对,并存储在Android的Keystore系统中。公钥可以用于在应用数据放置到特定文件夹前对数据进行加密,私钥可以在需要的时候解密相应的数据。

如果你只是想看代码,可以直接点击 这里

简单起见,我写了一个demo演示如何使用Android Keystore保存密码,加密、显示加密形式以及解密。

这里我就不写xml了,都是一些简单的东西,我在文后贴出所有的代码。

我这里新建了2个类文件。一个是EnCryptor,另一个是Decryptor。通过名字很容易知道其功能。

创建新密钥

在开始编码之前,我们需要给加密/解密数据的别名进行命名,名字可以是任意字符串,但是不可以是空字符串。别名是显示在Android Keystore中生成的密钥的名字。

首先我们需要获取Android KeyGenerator 的实例:

这里我们设置使用KeyGenerator的生成的密钥加密算法是AES,我们将在AndroidKeyStore中保存密钥/数据。

接下来我们能使用 KeyGenParameterSpec.Builder 创建 KeyGenParameterSpec ,传递给KeyGenerators的init方法。

KeyGenParameterSpec是什么,可以把它当作我们要生成的密钥的参数。例如,我们需要给密钥设置一个特定的过期时间。

KeyGenParameterSpec的代码:

首先我们传递了一个别名,这个名字可以是任意的,之后我们设置意图,是加密还是解密数据。

setBlockMode保证了只有指定的block模式下可以加密,解密数据,如果使用其它的block模式,将会被拒绝。可以在 这里 查看不同的block模式。

我们使用了“AES/GCM/NoPadding”变换算法,还需要设置KeyGenParameterSpec的padding类型。

加密数据

以上的执行完之后,加密数据非常简单:

首先我们使用keyGenParameterSpec初始化KeyGenerator,之后我们生成了 SecretKey

现在我们有了secretkey,我们可以初始化 Cipher 对象,这将是实际的加密过程。我们需要设置Clipher编码类型:

之后我们有了 ciphers initialization vector (IV) 的引用,可以用于解密。我们使用 doFinal(textToEncrypt) 拿到了最终的编码, doFinal(textToEncrypt) 返回的就是最重的加密数据。

解密

获取KeyStore实例:

我们用keyStore获取我们的secret key,我们还需要一个SecretKeyEntry:

之前KeyGenParameterSpecs中设置的block模式是KeyProperties.BLOCK_MODE_GCM,所以这里只能使用这个模式解密数据。

我们需要为 GCMParameterSpec 指定一个认证标签长度(可以是128、120、112、104、96这个例子中我们能使用最大的128),并且用到之前的加密过程中用到的IV。

获取加密数据:

获取解密数据:

这就是整个过程了。

源码地址: https://github.com/wutongke/KeyStoreDemo

原文地址: https://medium.com/@josiassena/using-the-android-keystore-system-to-store-sensitive-information-3a56175a454b#.3lly5mk5i

欢迎关注公众号 wutongke ,每天推送移动开发前沿技术文章:

推荐阅读:

高效Android开发者的工具库

重要-作为Android开发者必须了解的Gradle知识

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章