Android密钥库(AndroidKeyStore)使用

已于 2024-04-07 23:56:02 修改
阅读量4k 收藏 24
点赞数 21
文章标签: android
于 2024-03-27 00:24:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013855006/article/details/137061594
版权

一、KeyStore描述

在 Android 开发中,KeyStore 是一个用于存储密钥和证书的安全容器。它提供了一种安全的方式来存储敏感信息,如密钥对、数字证书等,以防止它们被未授权的应用或攻击者访问。

KeyStore 通常用于加密数据、数字签名、TLS/SSL 连接等场景。

Android 开发中使用 KeyStore 的常见场景:

  1. 存储密钥对:可以使用 KeyStore 来生成和存储公钥和私钥的密钥对。这些密钥对通常用于数据加密、数字签名等操作。

  2. 存储数字证书:可以使用 KeyStore 来存储数字证书,用于验证身份、建立安全连接等场景。

  3. 安全存储密码:可以使用 KeyStore 来安全地存储密码、凭证、API 密钥等敏感信息,以防止它们被未授权的应用或攻击者访问。

  4. TLS/SSL 连接:可以使用 KeyStore 来管理客户端证书和受信任的 CA 证书,用于安全通信、建立 TLS/SSL 连接等操作。

  5. 双因素身份验证:可以使用 KeyStore 来存储和管理双因素身份验证所需的密钥和证书,用于提高身份验证的安全性。

在 Android 中,KeyStore 是通过 java.security.KeyStore 类来实现的。可以使用该类来创建、加载、存储和检索密钥和证书。Android 提供了特定于 Android 平台的 KeyStore 实现,称为 AndroidKeyStore,它提供了更高级的安全功能,如硬件支持、密钥链随机生成等。

二、KeyStore使用

// 密钥库类型
private const val PP_KEYSTORE_TYPE = "AndroidKeyStore"
// 密钥库别名
private const val PP_KEYSTORE_ALIAS = "pp_keystore_alias"
// 加密算法标准算法名称
private const val PP_TRANSFORMATION = "RSA/ECB/PKCS1Padding"

1. 生成公私钥密钥对

    /**
     * 触发生成密钥对.
     * 
     * 生成RSA 密钥对,包括公钥和私钥
     *
     * @return KeyPair 密钥对,包含公钥和私钥
     */
    private fun generateKey(): KeyPair {
        // 创建密钥生成器
        val keyPairGenerator = KeyPairGenerator.getInstance(
            KeyProperties.KEY_ALGORITHM_RSA,
            PP_KEYSTORE_TYPE
        )
        // 配置密钥生成器参数
        KeyGenParameterSpec.Builder(
            PP_KEYSTORE_ALIAS,
            KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT
        )
            .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_RSA_PKCS1)
            .setDigests(KeyProperties.DIGEST_SHA256)
            .build().run {
                keyPairGenerator.initialize(this)
            }
        // 生成密钥对
        return keyPairGenerator.generateKeyPair()
    }

通过上述代码使用“AndroidKeyStore”类型的密钥库,生成 RSA 密钥对,包括公钥和私钥。

后续针对数据的加密和解密就需要使用此时密钥库中生成的 公钥和私钥。

2. AndroidKeyStore 密钥库得到密钥对

2.1 公钥
    /**
     * 获取公钥.
     *
     * @return 公钥
     */
    private fun getPublicKey(): PublicKey? {
        val keyStore = KeyStore.getInstance(PP_KEYSTORE_TYPE).apply {
            load(null)
        }
        // 判断密钥是否存在
        if (!keyStore.containsAlias(PP_KEYSTORE_ALIAS)) {
            return generateKey().public
        }
        val entry = keyStore.getEntry(PP_KEYSTORE_ALIAS, null)
        if (entry !is KeyStore.PrivateKeyEntry) {
            return null
        }
        return entry.certificate.publicKey
    }
2.2 私钥
    /**
     * 获取私钥.
     *
     * @return 密钥
     */
    private fun getPrivateKey(): PrivateKey? {
        val keyStore = KeyStore.getInstance(PP_KEYSTORE_TYPE).apply {
            load(null)
        }
        // 判断密钥是否存在
        if (!keyStore.containsAlias(PP_KEYSTORE_ALIAS)) {
            return generateKey().private
        }
        val entry = keyStore.getEntry(PP_KEYSTORE_ALIAS, null)
        if (entry !is KeyStore.PrivateKeyEntry) {
            return null
        }
        return entry.privateKey
    }

3. 加密、解密

3.1 加密
    /**
     * 数据加密.
     *
     * @param data 原始数据,字符串
     * @return 加密数据,字节数组
     */
    fun encryptData(data: String): ByteArray {
        return encryptDataInternal(data.toByteArray())
    }


    /**
     * 数据加密.
     *
     * @param bytes 原始数据
     * @return 加密数据
     */
    private fun encryptDataInternal(bytes: ByteArray): ByteArray {
        return getPublicKey()?.run {
            val cipher = Cipher.getInstance(PP_TRANSFORMATION)
            cipher.init(Cipher.ENCRYPT_MODE, this)
            cipher.doFinal(bytes)
        } ?: byteArrayOf()
    }
3.2 解密
    /**
     * 数据解密.
     *
     * @param bytes 加密数据
     * @return 原始数据,字符串
     */
    fun decryptData(bytes: ByteArray): String {
        return String(decryptDataInternal(bytes))
    }

    /**
     * 数据解密.
     *
     * @param bytes 加密数据
     * @return 原始数据
     */
    private fun decryptDataInternal(bytes: ByteArray): ByteArray {
        return getPrivateKey()?.run {
            val cipher = Cipher.getInstance(PP_TRANSFORMATION)
            cipher.init(Cipher.DECRYPT_MODE, this)
            cipher.doFinal(bytes)
        } ?: byteArrayOf()
    }

描述下Cipher对象参数:

Cipher.getInstance(String transformation) 是用于获取 Cipher 对象的静态方法。它接受一个字符串参数 transformation,该参数指定了要使用的加密算法、模式和填充方式

3.3 加解密对象Clpher参数transformation介绍

transformation 参数的格式通常为 "algorithm/mode/padding",其中:

  • algorithm:指定加密算法的名称,如 AES、DES、RSA 等。
  • mode:指定加密模式,如 ECB、CBC、CTR 等。
  • padding:指定填充方式,如 PKCS5Padding、NoPadding 等。

例如我们当前工具类,要使用 RSA 算法、ECB 模式和 PKCS5Padding 填充方式进行加密,你可以使用如下的 transformation 参数:

private const val PP_TRANSFORMATION = "RSA/ECB/PKCS1Padding"

然后调用 Cipher.getInstance(transformation) 方法来获取对应的 Cipher 对象,用于执行加密和解密操作。

在 Android 中,常见的加密算法和模式包括:

  • 加密算法:AES、DES、RSA 等。
  • 加密模式:ECB、CBC、CTR、GCM 等。
  • 填充方式:PKCS5Padding、NoPadding 等。

3.3.1 Android支持的transformation类型,参考Cipher文档:


Cipher  |  Android Developers

3.3.2 注意:padding使用OAEP填充方式
private const val PP_TRANSFORMATION = "RSA/ECB/OAEPwithSHA-512andMGF1Padding"

如果填充模式为OAEP,需要修改的代码如下

1. 密钥对生成需要修改代码
// padding: 主要是生成KeySotre密钥对,填充模式:ENCRYPTION_PADDING_RSA_OAEP
.setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_RSA_OAEP)
// mode: ECB
.setBlockModes(KeyProperties.BLOCK_MODE_ECB)
// 消息摘要只支持512和256,OAEPwithSHA-512andMGF1Padding
.setDigests(KeyProperties.DIGEST_SHA256, KeyProperties.DIGEST_SHA512)
2. 加密需要修改代码
/**
     * 数据加密.
     *
     * @param bytes 原始数据
     * @return 加密数据
     */
    private fun encryptDataInternal(bytes: ByteArray): ByteArray {
        return getPublicKey()?.run {
            val cipher = Cipher.getInstance(TRANSLATOR_TRANSFORMATION)
            cipher.init(
                Cipher.ENCRYPT_MODE, this,
                OAEPParameterSpec(
                    "SHA-512",
                    "MGF1",
                    MGF1ParameterSpec.SHA1,
                    PSource.PSpecified.DEFAULT
                )
            )
            cipher.doFinal(bytes)
        } ?: byteArrayOf()
    }
注意


Android平台在使用RSA/ECB/OAEPWithSHA-256AndMGF1Padding加密模式时,对MGF1摘要算法的支持存在一些限制。

  1. Android密钥库(AndroidKeyStore)在实现OAEP加密时,只支持使用SHA-1作为MGF1摘要算法,不支持SHA-256或更高版本的SHA算法作为MGF1。
  2. 尽管Android开发者文档中给出了使用OAEPParameterSpec设置不同摘要算法的示例代码加密介绍官网,但实际上如果将MGF1摘要设置为SHA-256或更高,会抛出java.security.InvalidAlgorithmParameterException异常。
  3. 这一限制存在于Android框架的实现中,目的是为了与其他系统保持加密算法的互操作。
  4. 因此,在Android平台上使用RSA/ECB/OAEPWithSHA-256AndMGF1Padding加密时,开发者需要将MGF1摘要算法显式设置为SHA-1,而不能使用SHA-256或更高版本,否则会导致异常。

提示:正常我们需要对加密的数据进行本地存储,上述加密数据是ByteArray,字节数组不太适合本地存储,因此我们可以通过Base64将ByteArray数据转换为字符串进行保存,取出数据之时再做Base64解码。

// ByteArray转Base64字符串
Base64.encodeToString(encryptedBytes, Base64.DEFAULT)

// Base64字符串转ByteArray
Base64.decode(encryptedString, Base64.DEFAULT)

到此为止,基本的使用和简单的参数描述已经完成。

4. 完整代码

object KeyStoreHelper {
    // 密钥库类型
    private const val PP_KEYSTORE_TYPE = "AndroidKeyStore"
    // 密钥库别名
    private const val PP_KEYSTORE_ALIAS = "pp_keystore_alias"
    // 加密算法标准算法名称
    private const val PP_TRANSFORMATION = "RSA/ECB/PKCS1Padding"

    /**
     * 数据加密.
     *
     * @param data 原始数据,字符串
     * @return 加密数据,字节数组
     */
    fun encryptData(data: String): ByteArray {
        return encryptDataInternal(data.toByteArray())
    }

    /**
     * 数据解密.
     *
     * @param bytes 加密数据
     * @return 原始数据,字符串
     */
    fun decryptData(bytes: ByteArray): String {
        return String(decryptDataInternal(bytes))
    }

    /**
     * 数据加密.
     *
     * @param bytes 原始数据
     * @return 加密数据
     */
    private fun encryptDataInternal(bytes: ByteArray): ByteArray {
        return getPublicKey()?.run {
            val cipher = Cipher.getInstance(PP_TRANSFORMATION)
            cipher.init(Cipher.ENCRYPT_MODE, this)
            cipher.doFinal(bytes)
        } ?: byteArrayOf()
    }

    /**
     * 数据解密.
     *
     * @param bytes 加密数据
     * @return 原始数据
     */
    private fun decryptDataInternal(bytes: ByteArray): ByteArray {
        return getPrivateKey()?.run {
            val cipher = Cipher.getInstance(PP_TRANSFORMATION)
            cipher.init(Cipher.DECRYPT_MODE, this)
            cipher.doFinal(bytes)
        } ?: byteArrayOf()
    }

    /**
     * 获取公钥.
     *
     * @return 公钥
     */
    private fun getPublicKey(): PublicKey? {
        val keyStore = KeyStore.getInstance(PP_KEYSTORE_TYPE).apply {
            load(null)
        }
        // 判断密钥是否存在
        if (!keyStore.containsAlias(PP_KEYSTORE_ALIAS)) {
            return generateKey().public
        }
        val entry = keyStore.getEntry(PP_KEYSTORE_ALIAS, null)
        if (entry !is KeyStore.PrivateKeyEntry) {
            return null
        }
        return entry.certificate.publicKey
    }

    /**
     * 获取私钥.
     *
     * @return 密钥
     */
    private fun getPrivateKey(): PrivateKey? {
        val keyStore = KeyStore.getInstance(PP_KEYSTORE_TYPE).apply {
            load(null)
        }
        // 判断密钥是否存在
        if (!keyStore.containsAlias(PP_KEYSTORE_ALIAS)) {
            return generateKey().private
        }
        val entry = keyStore.getEntry(PP_KEYSTORE_ALIAS, null)
        if (entry !is KeyStore.PrivateKeyEntry) {
            return null
        }
        return entry.privateKey
    }

    /**
     * 触发生成密钥对.
     *
     * 生成RSA 密钥对,包括公钥和私钥
     *
     * @return KeyPair 密钥对,包含公钥和私钥
     */
    private fun generateKey(): KeyPair {
        // 创建密钥生成器
        val keyPairGenerator = KeyPairGenerator.getInstance(
            KeyProperties.KEY_ALGORITHM_RSA,
            PP_KEYSTORE_TYPE
        )
        // 配置密钥生成器参数
        KeyGenParameterSpec.Builder(
            PP_KEYSTORE_ALIAS,
            KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT
        )
            .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_RSA_PKCS1)
            .setDigests(KeyProperties.DIGEST_SHA256)
            .build().run {
                keyPairGenerator.initialize(this)
            }
        // 生成密钥对
        return keyPairGenerator.generateKeyPair()
    }
}

参考

1. Android 密钥库系统

2. Cipher API文档

3. AndroidKeyStoreRSACipherSpi源码

4. 加密参考官网地址

吃骨头不吐股骨头皮
关注
  • 21
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
android keystore作用,Android KeyStore理解及簽名
weixin_42465885的博客
05-25 5787
Android簽名概述我們已經知道的是:Android對每一個Apk文件都會進行簽名,在Apk文件安裝時,系統會對其簽名信息進行比對,判斷程序的完整性,從而決定該Apk文件是否可以安裝,在一定程度上達到安全的目的。給定一個Apk文件,解壓,可以看到一個META-INFO文件夾,在該文件夾下有三個文件:分別為MANIFEST.MF、CERT.SF和CERT.RSA。這三個文件分別表征以下含義:MAN...
Android 密钥系统 keystore 操作demo.zip
01-19
软件开发设计:PHP、QT、应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言的项目开发与学习资料 硬件与设备:单片机、EDA、proteus、RTOS、包括计算机硬件、服务器、网络设备、存储设备、移动设备等 操作系统:LInux、IOS、树莓派、安卓开发、微机操作系统、网络操作系统、分布式操作系统等。此外,还有嵌入式操作系统、智能操作系统等。 网络与通信:数据传输、信号处理、网络协议、网络与通信硬件、网络安全网络与通信是一个非常广泛的领域,它涉及到计算机科学、电子工程、数学等多个学科的知识。 云计算与大数据:数据集、包括云计算平台、大数据分析、人工智能、机器学习等,云计算是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。
Android使用KeyStore对数据进行加密的示例代码
08-31
主要介绍了Android使用KeyStore对数据进行加密的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
AndroidStudio中debug.keystore的创建和配置使用
qq_58156721的博客
06-01 1019
首先在C:\Users\Admin\.android路径下打开cmd窗口之后输入命令:输入两次密码(密码不可见,打码处随便填写没关系)
Android KeyStore流程
楼中望月
01-02 8816
文章目录一、Keystore二、Keystore架构及接口函数1. Keystore组件架构2. IKeymasterDevice.hal中的几个重要接口函数2.1 begin函数2.2 update函数2.3 finish函数2.4 abort函数3. Keymaster TA4. 对称密码函数API三、从Keystore到Keymaster的完整分析1. cts问题2. 代码流程分析2.1 模块调用关系2.2 代码分析 一、Keystore keystore主要是对密钥的控制操作,包括密钥的生
AndroidAndroidKeyStore 对数据进行签名和验证
2401_83816794的博客
03-30 828
我见过很多技术leader在面试的时候,遇到处于迷茫期的大龄程序员,比面试官年龄都大。这些人有一些共同特征:可能工作了7、8年,还是每天重复给业务部门写代码,工作内容的重复性比较高,没有什么技术含量的工作。问到这些人的职业规划时,他们也没有太多想法。其实30岁到40岁是一个人职业发展的黄金阶段,一定要在业务范围内的扩张,技术广度和深度提升上有自己的计划,才有助于在职业发展上有持续的发展路径,而不至于停滞不前。不断奔跑,你就知道学习的意义所在!
Android 生成正式版密钥 KeyStore
y1笑而过
05-27 995
使用 Android Studio 生成密钥文件 KeyStore
Android密钥系统KeyStore
Samlss的博客
06-23 8104
1.什么是密钥系统? 利用 Android 密钥系统,您可以在容器中存储加密密钥,从而提高从设备中提取密钥的难度。在密钥进入密钥后,可以将它们用于加密操作,而密钥材料仍不可导出。此外,它提供了密钥使用的时间和方式限制措施,例如要求进行用户身份验证才能使用密钥,或者限制为只能在某些加密模式中使用密钥系统并不是让程序直接进行存储程序的私密信息的,比如说用户账号密码,其提供了一个密钥安全...
fastlane-plugin-android_keystore:生成一个Android密钥文件
05-13
生成一个Android密钥文件。 密钥将放置的默认目录是.android_signing但是可以在操作参数中更改此目录。 例子 查看以了解如何使用此插件。 通过克隆仓,运行fastlane install_plugins和bundle exec fastlane ...
nativescript-secure-android-keystore:用于在Android密钥中存储数据的插件
02-03
加密数据并在需要使用时解密使用密钥加密将数据保存在共享首选项中目前仅适用于Android 先决条件/要求 Android版本最新版本 安装 tns plugin add nativescript - secure - android - keystore 用法 描述您的插件...
Android 打包签名 从生成keystore到完成签名.zip
04-28
这个过程包括生成密钥keystore)、创建签名以及对APK进行签名。下面将详细阐述Android打包签名的各个环节。 一、理解签名的重要性 在Android系统中,每个安装在设备上的应用都需要通过签名来验证其来源和权限。...
AndroidKeystore密钥系统,保证本地加密算法的密钥安全性
冰码思维库
04-24 1722
1、AndroidKeystore密钥系统介绍 AndroidKeystore系统是一个密钥管理系统,谷歌设计这个系统的初衷应该是为了对标苹果的钥匙串KeyChain,有意思的是谷歌在Android4.0(API14)时便引入了KeyChain,但是并未提供详尽的说明文档,仅仅提供了一个API文档,网上也没有什么对它的文章,着实让人费解。话不多说,有兴趣的同学可以自行搜索,下面我来给大家介绍一...
android-keystore: Android keystore系统深入解析
gitblog_00087的博客
03-17 515
android-keystore: Android keystore系统深入解析 Android keystore是一个安全的存储服务,它允许应用程序在本地设备上存储私钥,并使用这些密钥进行加密、签名和解密操作。 项目简介 android-keystore 是一个由Nikolaus Gebhardt维护的开源项目,该项目旨在深入研究Android keystore系统,揭示其工作原理,并提供实用的...
47、PHP实现机器人的运动范围
weixin_44010641的博客
07-24 845
地上有一个m行和n列的方格。一个机器人从坐标0,0的格子开始移动,每一次只能向左,右,上,下四个方向移动一格,但是不能进入行坐标和列坐标的数位之和大于k的格子。但是,它不能进入方格(35,38),因为3+5+3+8 = 19。请问该机器人能够达到多少个格子?当k为18时,机器人能够进入方格(35,37),因为3+5+3+7 = 18。
Android】广播机制
2301_79977698的博客
07-24 847
Android中,广播(Broadcast)是一种消息,任何应用程序都可以发送广播消息,任何应用程序也都可以接收广播消息。广播通常用于通知应用程序某些事件的发生,比如系统启动、电量低、网络状态改变等。Broadcast Receiver(广播接收器):用于接收广播消息并响应这些消息的组件。Intent(意图):用于传递广播消息的数据结构。标准广播(Normal Broadcast)是完全异步的,所有接收器几乎同时接收广播,并且接收顺序是不确定的。
MySQL的MHA
2402_84844434的博客
07-24 816
高可用模式下的故障切换,基于主从复制。单点故障和主从复制不能切换的问题。至少需要3台。奇数台故障切换的过程0~30秒。根据vip地址所在的主机,确定主备。主和备不是靠优先级决定的,主从复制的时候就确定了主,备是在MHA的过程中确定的。
uniapp安卓通过绝对路径获取文件
qq_61950936的博客
07-23 433
请确保你的uniapp应用具有读取存储的权限,并且该文件确实存在于指定的路径。此外,你的应用可能需要运行在Android 4.4及以上版本的设备上,因为plus.io API是基于HTML5 Plus的,而这个特性需要设备的Android版本和浏览器支持。在uniapp中,如果你想要访问安卓设备上的文件,你需要使用uniapp提供的plus.io API。这个API允许你在应用内访问设备的文件系统。
Android笔试面试题AI答之Android系统与综合类(1)
最新发布
学无止境,止于至善
07-25 929
答案仅供参考,来着文心一言、Kimi.ai。
android android.security.keystore 服务
11-24
Android安全密钥服务(android.security.keystore)是Android系统提供的一个用于管理和保护应用程序密钥的框架。它通过使用安全硬件或安全软件来保护密钥,确保应用程序数据的保密性和完整性。 安全密钥服务的主要功能包括生成和存储密钥使用密钥进行加密和解密、生成和验证数字签名等。它使用了强大的加密算法和安全性措施,可以帮助开发者有效地保护应用程序的敏感数据。 安全密钥服务支持各种类型的密钥,包括对称密钥和非对称密钥。开发者可以根据应用程序的需求,选择合适的密钥类型,并使用相应的算法进行操作。此外,安全密钥服务还提供了丰富的API接口,使开发者能够灵活地使用和管理密钥使用安全密钥服务可以帮助应用程序应对各种安全威胁,如数据泄露、篡改和中间人攻击等。它可以防止恶意应用程序获取应用程序中的敏感数据,并保证应用程序的可信度和可靠性。 总之,Android安全密钥服务是一个重要的安全框架,可以帮助开发者有效地保护应用程序的敏感数据。通过利用这个服务,开发者可以提供更安全的应用程序,减少数据泄露和攻击风险。它是Android系统中不可或缺的一部分,对于建立信任和保护用户隐私至关重要。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃骨头不吐股骨头皮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值