Android 中加密的String:让我们做出更少的失误

最新推荐文章于 2025-04-06 10:22:21 发布
最新推荐文章于 2025-04-06 10:22:21 发布
阅读量1.9k 收藏
点赞数
分类专栏: Android开发 文章标签: android 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JackiAndroid/article/details/50300497
版权 
     如果你在网上搜索“Android 字符串加密”,估计你可以找到大量的实例代码,比如MD5加密,比如DES加密,这些方式输入的字符串和输出像乱码一样的加密字符常常也是不正确的。加密是个比较棘手的问题,它是很难说从搜索出的代码没有严重的缺陷。
     要正确的使用它,必须了解该算法的性能和代码的安全目标, 也许这些不好的加密代码被发布在网上是可以被接受的,但现在有更好的加密方式让我们不能再接受这些代码。

     谷歌Android字符串的加密有个失误,由于是在谷歌第一主打,该代码已经普遍很多地方,其中包括数百个Github上的项目。
    典型的错误:

   *坏密钥生成:理想情况下,AES密钥应牢固并生成随机。另外,根据不同的使用情况,您可以使用标准的基于密码的方法来生成一个密钥,是强如密码。很多网站建议使用从密码作为种子的随机数生成的字节数。这是不对的。 
   *过时密钥生成的:在2013年,人们认识到,在Android的SecureRandom实现是有缺陷和开发人员需要明确初始化PRNG熵。

   *使用ECB:在Android中AES的默认模式是ECB,其加密每个块是一样的,因此受到的分析和攻击,[ECB的一个例证](https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_codebook_.28ECB.29)想象你加密了一堆密码:你可以不一定解密密码,没有钥匙,但你可以告诉哪些网站使用相同的密码。更好的方式是CBC,而且该模式已经可以在Android使用了相当长的一段时间。


   *没有诚信:很多人认为AES在创建中具有完整性检查,这个思想是:“如果解密正确,它被人用私钥生成”。实际上,AES CBC允许攻击者修改这个消息。在我们的搜索中,我们没有发现在用AES CBC做诚信检查的一个例子。 

   *不正确第IV:当使用例如CBC模式,随机IV是必需的。这使得与密文稍微复杂一点,因为交易需要保留的(非机密)四周围解密。由于它的棘手,有时人们使用固定的IV,这是经常坏。Android的做一些非常奇怪的事情,如果你不指定IV,你加密的东西,永远也无法解密。

   *弱算法:使用DES或MD5的是有问题的,因为两者的那些算法已被证明是弱并且不应再被使用。
 解决问题:
     使用AES 库构建,提供一个Java AesCbcWithIntegrity类,很方便的添加在Android项目中。 
     特性:
     *简单 一个非常简单的Java类,在大多数或所有版本的Android。类应该易于粘贴到现有的代码库
     * 加密字符串: 它应该加密任意的字符串或字节数组。这意味着它需要有效地处理多个街区(CBC)和部分街区(填充)。序列化、反序列化密文的持之以恒、静脉注射和关键材料使用base64使它容易
     *算法和模式 :选择AES 128,CBC,PKCS5填充
     *IV Handling: 安全地生成一个随机在每个加密和提供一个简单的类保持IV和密文一起所以他们容易跟踪和存储
     *诚信:添加了或多或少地透明的完整性检查的形式,这是组合键的形式,128位的密钥用于加密和256位用于完整,然后钥匙保存在一起
 [参考](http://tozny.com/blog/encrypting-strings-in-android-lets-make-better-mistakes/)
 [源码和实例](http://download.csdn.net/detail/jackiandroid/9355623)
MATLAB算法实战应用案例精讲-【人工智能】同态加密(概念篇)(附python和MATLAB代码实现)
qq_36130719的博客
08-18 709
同态加密是数据加密方式的一种,特点是允许数据在加密情况下实现数学或者逻辑运算,对文直接进行处理得到的结果和对明文进行处理再加密得到的结果相同,即“先加密后计算”和“先计算再加密”效果是一样的。同态加密优势在于用户在数据加密的情形下仍能对特定的加密数据进行分析和检索,提高了数据处理的效率,保证了数据安全传送,并且正确的加密数据仍能得到正确的解结果。由于这个良好的性质,企业和个人可以委托第三方对数据进行处理而不泄露信息,进而实现了数据的“可用不可见”。
Android应用的基本构造及威胁(apk)
墨痕诉清风的博客
06-03 1652
web应用是通过使用javaScript、HTML5等web技术来实现交互、导航以及个性化功能的。web应用可以在移动端设备的web浏览器中运行,并通过向后台服务器请求web页面来进行渲染。一个web应用可以有浏览器渲染的版本,也可以有作为独立应用的版本。安卓使用了类似Unix中的文件系统来进行本地数据存储,用到的文件系统有十几种,如FTA32、EXT等。事实上,安卓系统中的一切都是文件。安卓在filesystems这个文件中存储了许多详细的信息,比如内置应用等。
Android 加密字符串详解
09-05
本篇文章是对Android加密字符串进行了详细的分析介绍,需要的朋友参考下
android加密字符串,Android 加密字符串
weixin_42534100的博客
05-25 164
package eoe.demo;import java.security.SecureRandom;import javax.crypto.Cipher;import javax.crypto.KeyGenerator;import javax.crypto.SecretKey;import javax.crypto.spec.SecretKeySpec;/*** Usage:* * Strin...
安卓开发工程师-数据加密与解
最新发布
qq_62784677的博客
04-06 1051
可以通过继承CipherSpi类来自定义加解算法。@Override@Override// 自定义加密逻辑i++) {然后在代码中注册自定义的CipherSpi。
android 字符串加密算法,Android常见加密算法实现
weixin_30825389的博客
05-25 916
逆向的时候,经常会遇到各种加密算法,google查起来比较乱,这里整理下。编码:base64、哈希算法:md5、sha-1、sha-256对称加密:AES、DES、3DES非对称加密:RSA一、常见算法的Android实现base6412345678//编码byte[] data = text.getBytes("UTF-8");String base64 = Base64.encodeToStr...
Android 加密字符串 MD5
爱孔孟
07-15 1871
import java.io.UnsupportedEncodingException; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class MD5 { public static String get(String id, String num) {
Android 加密字符串
Sayangnala的专栏
06-29 833
package eoe.demo;import java.security.SecureRandom;import javax.crypto.Cipher;import javax.crypto.KeyGenerator;import javax.crypto.SecretKey;import javax.crypto.spec.SecretKeySpec;/*
Android键盘无障碍服务】:打造更人性化输入体验的5大策略
本文对Android系统中键盘无障碍服务进行深入探讨,涵盖无障碍服务的基础理论与实践应用、输入效率提升策略、高级应用、以及安全性与隐私保护等方面。文章首先概述了无障碍服务的重要性、定义和架构,接着探讨了如何...
揭秘Android平台:建行支付SDK在Java中的高效实现(专家级实践指南)
[揭秘Android平台:建行支付SDK在Java中的高效实现(专家级实践指南)](https://growingio.github.io/growingio-sdk-docs-v3/img/common/createapplication.png) # 1. 移动支付与Android平台概述 ## 移动支付的兴起...
Android Auto应用开发】:车载娱乐系统应用集成
本论文全面介绍了Android Auto应用的开发过程,涵盖了从基础架构到用户体验设计的各个方面。第一章为概述,提供了Android Auto应用开发的背景和目标。第二章详细介绍了Android Auto平台的基础知识,包括其架构、关键...
字符串加密
07-18
字符串加密
StringFog, 一款自动对字节码中的字符串进行加密Android插件工具.zip
09-17
StringFog, 一款自动对字节码中的字符串进行加密Android插件工具
android加密字符串,Android 加密字符串详解
weixin_42294495的博客
05-25 520
加密和解的字符串:package eoe.demo;import java.security.SecureRandom;import javax.crypto.Cipher;import javax.crypto.KeyGenerator;import javax.crypto.SecretKey;import javax.crypto.spec.SecretKeySpec;/*** Usage...
Android - 字符串简单的加密和解
Arlo_Liao的博客
09-24 1577
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、1.字符串的加密二、字符串的解三、备注:常量PASSWORD_ENC_SECRET可自行定义。 前言 Android - 字符串的加密和解。 提示:以下是本篇文章正文内容,下面案例可供参考 一、1.字符串的加密 /** * 加密 **/ private String encryptPassword(String clearText) { try {
android java加密_Android Java字符串加密
weixin_36127428的博客
02-15 156
Java字符串加密学习笔记Java字节码字节码生成Java2bitcode由Java源代码生成字节码的过程如下图(图片来源于网络)JVM执行不是热代码直接走字节码解释器热代码:多次调用,多次执行的循环体,会被JIT优化成机器码字节码执行方法调用在JVM中即是字节码执行,而字节码指令执行的树结构是栈帧(stack frame),也就是在虚拟机栈中的栈元素。虚拟机会给每个方法分配一个栈帧,因为虚拟机栈...
android 字符加密,Android 加密字符串
weixin_34928052的博客
05-25 354
加密和解的字符串:package eoe.demo;import java.security.SecureRandom;import javax.crypto.Cipher;import javax.crypto.KeyGenerator;import javax.crypto.SecretKey;import javax.crypto.spec.SecretKeySpec;/*** Usage...
Apache2 You don‘t have permission to access this resource.
03-24
### Apache2 权限问题解决方案 当遇到 `permission denied` 错误时,通常是因为文件或目录的权限设置不正确,或者 Web 服务器运行的身份没有足够的权限来访问所需的资源。以下是可能的原因以及对应的解决方法: #### 文件和目录权限配置 确保目标文件及其父级目录具有适当的权限。可以通过以下命令调整权限: ```bash chmod -R 755 /path/to/resource chown -R www-data:www-data /path/to/resource ``` 上述命令中的 `www-data` 是默认情况下 Apache 使用的操作系统用户组名称[^1]。 如果仍然存在权限问题,则可以进一步检查 SELinux 或 AppArmor 的状态。这些安全模块可能会阻止 Apache 访问某些路径。禁用它们或将策略更改为允许模式可能是必要的临时措施(仅用于测试)。例如,在 CentOS 上关闭 SELinux 可通过编辑 `/etc/selinux/config` 并将其值设为 `SELINUX=permissive` 实现。 #### 配置虚拟主机或目录指令 确认 Apache 虚拟主机配置中是否设置了正确的 `<Directory>` 块并启用了读取权限。示例配置如下所示: ```apache <Directory "/var/www/html"> Options Indexes FollowSymLinks AllowOverride All Require all granted </Directory> ``` 此部分应位于站点配置文件内,比如 `/etc/apache2/sites-available/your-site.conf` 中。 #### HTTPS 强制重定向引发的问题 如果有强制使用 SSL/TLS 的需求,请验证 `.htaccess` 文件或其他位置是否存在类似下面这样的规则错误应用到不应该被加密连接影响的部分网站结构上: ```apache RewriteEngine On RewriteCond %{HTTPS} !=on [NC] RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L] ``` 这段代码片段会将所有请求转向 HTTPS 版本;然而,它也可能引起循环重定向等问题,特别是在子域名处理不当的情况下。 #### 测试网络通信状况 利用工具如 cURL 进行调试可以帮助理解客户端与服务端之间的交互过程是否有异常情况发生。例如发送 POST 请求给受保护的服务接口时可附加认证信息头字段尝试解决问题: ```bash curl -X GET \ -H "Authorization: Basic $(echo -n 'username:password' | base64)" \ http://example.com/api/v1/resource ``` 另外也可以参考样例调用远程执行器API获取当前正在运行的任务列表的状态返回码判断具体失败原因[^2]。 #### Java HTTP 客户端身份验证支持 对于基于Java的应用程序来说,若需向外部提供基本HTTP鉴权机制的话,那么应该考虑采用Android SDK 提供的方法实现自动填充用户名码功能以便简化开发流程减少人为失误几率提高安全性水平。像这样一段简单的java代码就可以完成这项工作: ```java public class HttpAuthExample { public static void main(String[] args){ URL url; try{ url = new URL("http://server"); HttpURLConnection connection = (HttpURLConnection)url.openConnection(); Authenticator.setDefault(new Authenticator(){ @Override protected PasswordAuthentication getPasswordAuthentication() { return new PasswordAuthentication ("user", "passwd".toCharArray()); } }); InputStream content = (InputStream)connection.getInputStream(); } catch(Exception e){} } } ``` 这里我们创建了一个匿名内部类覆盖了getPasswordAuthentication 方法从而实现了自定义的行为逻辑即每当检测到来自指定host 和realm组合形式下的挑战响应都会按照预定义好的方式作出反应[^3]. 综上所述,针对 apache2 出现 permission denied 报错的情况可以从多个角度入手排查分析根本原因是由于文件系统的属性设定不合理还是其他因素干扰所致最终达到修复目的.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值