Android密钥库(AndroidKeyStore)使用

已于 2024-04-07 23:56:02 修改
阅读量3.8k 收藏 23
点赞数 21
文章标签: android
于 2024-03-27 00:24:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013855006/article/details/137061594
版权

一、KeyStore描述

在 Android 开发中,KeyStore 是一个用于存储密钥和证书的安全容器。它提供了一种安全的方式来存储敏感信息,如密钥对、数字证书等,以防止它们被未授权的应用或攻击者访问。

KeyStore 通常用于加密数据、数字签名、TLS/SSL 连接等场景。

Android 开发中使用 KeyStore 的常见场景:

  1. 存储密钥对:可以使用 KeyStore 来生成和存储公钥和私钥的密钥对。这些密钥对通常用于数据加密、数字签名等操作。

  2. 存储数字证书:可以使用 KeyStore 来存储数字证书,用于验证身份、建立安全连接等场景。

  3. 安全存储密码:可以使用 KeyStore 来安全地存储密码、凭证、API 密钥等敏感信息,以防止它们被未授权的应用或攻击者访问。

  4. TLS/SSL 连接:可以使用 KeyStore 来管理客户端证书和受信任的 CA 证书,用于安全通信、建立 TLS/SSL 连接等操作。

  5. 双因素身份验证:可以使用 KeyStore 来存储和管理双因素身份验证所需的密钥和证书,用于提高身份验证的安全性。

在 Android 中,KeyStore 是通过 java.security.KeyStore 类来实现的。可以使用该类来创建、加载、存储和检索密钥和证书。Android 提供了特定于 Android 平台的 KeyStore 实现,称为 AndroidKeyStore,它提供了更高级的安全功能,如硬件支持、密钥链随机生成等。

二、KeyStore使用

// 密钥库类型
private const val PP_KEYSTORE_TYPE = "AndroidKeyStore"
// 密钥库别名
private const val PP_KEYSTORE_ALIAS = "pp_keystore_alias"
// 加密算法标准算法名称
private const val PP_TRANSFORMATION = "RSA/ECB/PKCS1Padding"

1. 生成公私钥密钥对

    /**
     * 触发生成密钥对.
     * 
     * 生成RSA 密钥对,包括公钥和私钥
     *
     * @return KeyPair 密钥对,包含公钥和私钥
     */
    private fun generateKey(): KeyPair {
        // 创建密钥生成器
        val keyPairGenerator = KeyPairGenerator.getInstance(
            KeyProperties.KEY_ALGORITHM_RSA,
            PP_KEYSTORE_TYPE
        )
        // 配置密钥生成器参数
        KeyGenParameterSpec.Builder(
            PP_KEYSTORE_ALIAS,
            KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT
        )
            .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_RSA_PKCS1)
            .setDigests(KeyProperties.DIGEST_SHA256)
            .build().run {
                keyPairGenerator.initialize(this)
            }
        // 生成密钥对
        return keyPairGenerator.generateKeyPair()
    }

通过上述代码使用“AndroidKeyStore”类型的密钥库,生成 RSA 密钥对,包括公钥和私钥。

后续针对数据的加密和解密就需要使用此时密钥库中生成的 公钥和私钥。

2. AndroidKeyStore 密钥库得到密钥对

2.1 公钥
    /**
     * 获取公钥.
     *
     * @return 公钥
     */
    private fun getPublicKey(): PublicKey? {
        val keyStore = KeyStore.getInstance(PP_KEYSTORE_TYPE).apply {
            load(null)
        }
        // 判断密钥是否存在
        if (!keyStore.containsAlias(PP_KEYSTORE_ALIAS)) {
            return generateKey().public
        }
        val entry = keyStore.getEntry(PP_KEYSTORE_ALIAS, null)
        if (entry !is KeyStore.PrivateKeyEntry) {
            return null
        }
        return entry.certificate.publicKey
    }
2.2 私钥
    /**
     * 获取私钥.
     *
     * @return 密钥
     */
    private fun getPrivateKey(): PrivateKey? {
        val keyStore = KeyStore.getInstance(PP_KEYSTORE_TYPE).apply {
            load(null)
        }
        // 判断密钥是否存在
        if (!keyStore.containsAlias(PP_KEYSTORE_ALIAS)) {
            return generateKey().private
        }
        val entry = keyStore.getEntry(PP_KEYSTORE_ALIAS, null)
        if (entry !is KeyStore.PrivateKeyEntry) {
            return null
        }
        return entry.privateKey
    }

3. 加密、解密

3.1 加密
    /**
     * 数据加密.
     *
     * @param data 原始数据,字符串
     * @return 加密数据,字节数组
     */
    fun encryptData(data: String): ByteArray {
        return encryptDataInternal(data.toByteArray())
    }


    /**
     * 数据加密.
     *
     * @param bytes 原始数据
     * @return 加密数据
     */
    private fun encryptDataInternal(bytes: ByteArray): ByteArray {
        return getPublicKey()?.run {
            val cipher = Cipher.getInstance(PP_TRANSFORMATION)
            cipher.init(Cipher.ENCRYPT_MODE, this)
            cipher.doFinal(bytes)
        } ?: byteArrayOf()
    }
3.2 解密
    /**
     * 数据解密.
     *
     * @param bytes 加密数据
     * @return 原始数据,字符串
     */
    fun decryptData(bytes: ByteArray): String {
        return String(decryptDataInternal(bytes))
    }

    /**
     * 数据解密.
     *
     * @param bytes 加密数据
     * @return 原始数据
     */
    private fun decryptDataInternal(bytes: ByteArray): ByteArray {
        return getPrivateKey()?.run {
            val cipher = Cipher.getInstance(PP_TRANSFORMATION)
            cipher.init(Cipher.DECRYPT_MODE, this)
            cipher.doFinal(bytes)
        } ?: byteArrayOf()
    }

描述下Cipher对象参数:

Cipher.getInstance(String transformation) 是用于获取 Cipher 对象的静态方法。它接受一个字符串参数 transformation,该参数指定了要使用的加密算法、模式和填充方式

3.3 加解密对象Clpher参数transformation介绍

transformation 参数的格式通常为 "algorithm/mode/padding",其中:

  • algorithm:指定加密算法的名称,如 AES、DES、RSA 等。
  • mode:指定加密模式,如 ECB、CBC、CTR 等。
  • padding:指定填充方式,如 PKCS5Padding、NoPadding 等。

例如我们当前工具类,要使用 RSA 算法、ECB 模式和 PKCS5Padding 填充方式进行加密,你可以使用如下的 transformation 参数:

private const val PP_TRANSFORMATION = "RSA/ECB/PKCS1Padding"

然后调用 Cipher.getInstance(transformation) 方法来获取对应的 Cipher 对象,用于执行加密和解密操作。

在 Android 中,常见的加密算法和模式包括:

  • 加密算法:AES、DES、RSA 等。
  • 加密模式:ECB、CBC、CTR、GCM 等。
  • 填充方式:PKCS5Padding、NoPadding 等。

3.3.1 Android支持的transformation类型,参考Cipher文档:


Cipher  |  Android Developers

3.3.2 注意:padding使用OAEP填充方式
private const val PP_TRANSFORMATION = "RSA/ECB/OAEPwithSHA-512andMGF1Padding"

如果填充模式为OAEP,需要修改的代码如下

1. 密钥对生成需要修改代码
// padding: 主要是生成KeySotre密钥对,填充模式:ENCRYPTION_PADDING_RSA_OAEP
.setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_RSA_OAEP)
// mode: ECB
.setBlockModes(KeyProperties.BLOCK_MODE_ECB)
// 消息摘要只支持512和256,OAEPwithSHA-512andMGF1Padding
.setDigests(KeyProperties.DIGEST_SHA256, KeyProperties.DIGEST_SHA512)
2. 加密需要修改代码
/**
     * 数据加密.
     *
     * @param bytes 原始数据
     * @return 加密数据
     */
    private fun encryptDataInternal(bytes: ByteArray): ByteArray {
        return getPublicKey()?.run {
            val cipher = Cipher.getInstance(TRANSLATOR_TRANSFORMATION)
            cipher.init(
                Cipher.ENCRYPT_MODE, this,
                OAEPParameterSpec(
                    "SHA-512",
                    "MGF1",
                    MGF1ParameterSpec.SHA1,
                    PSource.PSpecified.DEFAULT
                )
            )
            cipher.doFinal(bytes)
        } ?: byteArrayOf()
    }
注意


Android平台在使用RSA/ECB/OAEPWithSHA-256AndMGF1Padding加密模式时,对MGF1摘要算法的支持存在一些限制。

  1. Android密钥库(AndroidKeyStore)在实现OAEP加密时,只支持使用SHA-1作为MGF1摘要算法,不支持SHA-256或更高版本的SHA算法作为MGF1。
  2. 尽管Android开发者文档中给出了使用OAEPParameterSpec设置不同摘要算法的示例代码加密介绍官网,但实际上如果将MGF1摘要设置为SHA-256或更高,会抛出java.security.InvalidAlgorithmParameterException异常。
  3. 这一限制存在于Android框架的实现中,目的是为了与其他系统保持加密算法的互操作。
  4. 因此,在Android平台上使用RSA/ECB/OAEPWithSHA-256AndMGF1Padding加密时,开发者需要将MGF1摘要算法显式设置为SHA-1,而不能使用SHA-256或更高版本,否则会导致异常。

提示:正常我们需要对加密的数据进行本地存储,上述加密数据是ByteArray,字节数组不太适合本地存储,因此我们可以通过Base64将ByteArray数据转换为字符串进行保存,取出数据之时再做Base64解码。

// ByteArray转Base64字符串
Base64.encodeToString(encryptedBytes, Base64.DEFAULT)

// Base64字符串转ByteArray
Base64.decode(encryptedString, Base64.DEFAULT)

到此为止,基本的使用和简单的参数描述已经完成。

4. 完整代码

object KeyStoreHelper {
    // 密钥库类型
    private const val PP_KEYSTORE_TYPE = "AndroidKeyStore"
    // 密钥库别名
    private const val PP_KEYSTORE_ALIAS = "pp_keystore_alias"
    // 加密算法标准算法名称
    private const val PP_TRANSFORMATION = "RSA/ECB/PKCS1Padding"

    /**
     * 数据加密.
     *
     * @param data 原始数据,字符串
     * @return 加密数据,字节数组
     */
    fun encryptData(data: String): ByteArray {
        return encryptDataInternal(data.toByteArray())
    }

    /**
     * 数据解密.
     *
     * @param bytes 加密数据
     * @return 原始数据,字符串
     */
    fun decryptData(bytes: ByteArray): String {
        return String(decryptDataInternal(bytes))
    }

    /**
     * 数据加密.
     *
     * @param bytes 原始数据
     * @return 加密数据
     */
    private fun encryptDataInternal(bytes: ByteArray): ByteArray {
        return getPublicKey()?.run {
            val cipher = Cipher.getInstance(PP_TRANSFORMATION)
            cipher.init(Cipher.ENCRYPT_MODE, this)
            cipher.doFinal(bytes)
        } ?: byteArrayOf()
    }

    /**
     * 数据解密.
     *
     * @param bytes 加密数据
     * @return 原始数据
     */
    private fun decryptDataInternal(bytes: ByteArray): ByteArray {
        return getPrivateKey()?.run {
            val cipher = Cipher.getInstance(PP_TRANSFORMATION)
            cipher.init(Cipher.DECRYPT_MODE, this)
            cipher.doFinal(bytes)
        } ?: byteArrayOf()
    }

    /**
     * 获取公钥.
     *
     * @return 公钥
     */
    private fun getPublicKey(): PublicKey? {
        val keyStore = KeyStore.getInstance(PP_KEYSTORE_TYPE).apply {
            load(null)
        }
        // 判断密钥是否存在
        if (!keyStore.containsAlias(PP_KEYSTORE_ALIAS)) {
            return generateKey().public
        }
        val entry = keyStore.getEntry(PP_KEYSTORE_ALIAS, null)
        if (entry !is KeyStore.PrivateKeyEntry) {
            return null
        }
        return entry.certificate.publicKey
    }

    /**
     * 获取私钥.
     *
     * @return 密钥
     */
    private fun getPrivateKey(): PrivateKey? {
        val keyStore = KeyStore.getInstance(PP_KEYSTORE_TYPE).apply {
            load(null)
        }
        // 判断密钥是否存在
        if (!keyStore.containsAlias(PP_KEYSTORE_ALIAS)) {
            return generateKey().private
        }
        val entry = keyStore.getEntry(PP_KEYSTORE_ALIAS, null)
        if (entry !is KeyStore.PrivateKeyEntry) {
            return null
        }
        return entry.privateKey
    }

    /**
     * 触发生成密钥对.
     *
     * 生成RSA 密钥对,包括公钥和私钥
     *
     * @return KeyPair 密钥对,包含公钥和私钥
     */
    private fun generateKey(): KeyPair {
        // 创建密钥生成器
        val keyPairGenerator = KeyPairGenerator.getInstance(
            KeyProperties.KEY_ALGORITHM_RSA,
            PP_KEYSTORE_TYPE
        )
        // 配置密钥生成器参数
        KeyGenParameterSpec.Builder(
            PP_KEYSTORE_ALIAS,
            KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT
        )
            .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_RSA_PKCS1)
            .setDigests(KeyProperties.DIGEST_SHA256)
            .build().run {
                keyPairGenerator.initialize(this)
            }
        // 生成密钥对
        return keyPairGenerator.generateKeyPair()
    }
}

参考

1. Android 密钥库系统

2. Cipher API文档

3. AndroidKeyStoreRSACipherSpi源码

4. 加密参考官网地址

吃骨头不吐股骨头皮
关注
  • 21
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
android keystore作用,Android KeyStore理解及簽名
weixin_42465885的博客
05-25 5784
Android簽名概述我們已經知道的是:Android對每一個Apk文件都會進行簽名,在Apk文件安裝時,系統會對其簽名信息進行比對,判斷程序的完整性,從而決定該Apk文件是否可以安裝,在一定程度上達到安全的目的。給定一個Apk文件,解壓,可以看到一個META-INFO文件夾,在該文件夾下有三個文件:分別為MANIFEST.MF、CERT.SF和CERT.RSA。這三個文件分別表征以下含義:MAN...
Android使用KeyStore对数据进行加密的示例代码
08-31
主要介绍了Android使用KeyStore对数据进行加密的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Android 密钥系统 keystore 操作demo.zip
01-19
软件开发设计:PHP、QT、应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言的项目开发与学习资料 硬件与设备:单片机、EDA、proteus、RTOS、包括计算机硬件、服务器、网络设备、存储设备、移动设备等 操作系统:LInux、IOS、树莓派、安卓开发、微机操作系统、网络操作系统、分布式操作系统等。此外,还有嵌入式操作系统、智能操作系统等。 网络与通信:数据传输、信号处理、网络协议、网络与通信硬件、网络安全网络与通信是一个非常广泛的领域,它涉及到计算机科学、电子工程、数学等多个学科的知识。 云计算与大数据:数据集、包括云计算平台、大数据分析、人工智能、机器学习等,云计算是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。
Android 生成正式版密钥 KeyStore
最新发布
y1笑而过
05-27 941
使用 Android Studio 生成密钥文件 KeyStore
AndroidAndroidKeyStore 对数据进行签名和验证
2401_83816794的博客
03-30 825
我见过很多技术leader在面试的时候,遇到处于迷茫期的大龄程序员,比面试官年龄都大。这些人有一些共同特征:可能工作了7、8年,还是每天重复给业务部门写代码,工作内容的重复性比较高,没有什么技术含量的工作。问到这些人的职业规划时,他们也没有太多想法。其实30岁到40岁是一个人职业发展的黄金阶段,一定要在业务范围内的扩张,技术广度和深度提升上有自己的计划,才有助于在职业发展上有持续的发展路径,而不至于停滞不前。不断奔跑,你就知道学习的意义所在!
[转载]Android 生成keystore,两种方式
weixin_34007906的博客
05-08 416
Refer : http://blog.csdn.net/ms03001620/article/details/8490314 一、eclipse 中生成android keystore 建立任意一个android项目(例如:AntForAndroid) 右键AntForAndroid根目录弹出菜单->Android Tools -> Export Signed Applicat...
Android KeyStore流程
楼中望月
01-02 8786
文章目录一、Keystore二、Keystore架构及接口函数1. Keystore组件架构2. IKeymasterDevice.hal中的几个重要接口函数2.1 begin函数2.2 update函数2.3 finish函数2.4 abort函数3. Keymaster TA4. 对称密码函数API三、从Keystore到Keymaster的完整分析1. cts问题2. 代码流程分析2.1 模块调用关系2.2 代码分析 一、Keystore keystore主要是对密钥的控制操作,包括密钥的生
Android KeyStore使用
augfun的博客
06-17 9401
先来看看官方对他的定义:AndroidKeystore系统可让您将加密密钥存储在容器中,以使其更难从设备中提取。一旦密钥进入密钥,就可以将其用于加密操作,而密钥材料仍不可导出。而且,它提供了限制何时和如何使用密钥的功能,例如要求用户进行身份验证才能使用密钥,或者限制仅在某些加密模式下使用密钥。定义其实很简单,他就是用来保存加解密的Key和证书的。
Android keystore 多种方式获取 MD5、签名信息等(包含快应用)
卡尔特斯
09-21 9028
都是比较常用的两种密钥格式/标准,这两者之间是可以通过导入/导出的方式进行转换的,这种转换需要通过。下面就是正常的安卓获取应用签名部分了!软件,输入刚才的包名,点击获取,就能得到这个对应包名的。,意味个人信息交换文件,则是通过更为常用的。,填写完了,点击完成,在根目录中会生成一个。,则会自动获取本机中对应包名的应用的。,这是一个安卓签名证书,然后填写好。的文件,这个就是安卓的签名证书了,签名证书后,获取应用签名可以通过。2、就会输出下面这样的信息,也就是。,然后新建一个空项目,重点是。
AndroidKeyStore保护数据
augfun的博客
06-17 3961
让我们先清除一些有关Android Keystore系统的知识。密钥不一定只用于密码,它可以用于任何敏感数据,这样做的方式使攻击者或恶意/未经授权的软件很难从我们这里获取此信息。简单来说:应用程序只能编辑,保存和检索密钥。这个概念很简单,但功能强大。该应用将生成或接收私钥-公钥对,然后将其存储在Android Keystore系统中。然后,在将公用密钥存储在特定于应用程序的文件夹中之前,可以使用公用密钥对应用程序秘密进行加密,并在需要时使用专用密钥对相同信息进行解密。
fastlane-plugin-android_keystore:生成一个Android密钥文件
05-13
生成一个Android密钥文件。 密钥将放置的默认目录是.android_signing但是可以在操作参数中更改此目录。 例子 查看以了解如何使用此插件。 通过克隆仓,运行fastlane install_plugins和bundle exec fastlane ...
nativescript-secure-android-keystore:用于在Android密钥中存储数据的插件
02-03
加密数据并在需要使用时解密使用密钥加密将数据保存在共享首选项中目前仅适用于Android 先决条件/要求 Android版本最新版本 安装 tns plugin add nativescript - secure - android - keystore 用法 描述您的插件...
Android 打包签名 从生成keystore到完成签名.zip
04-28
这个过程包括生成密钥keystore)、创建签名以及对APK进行签名。下面将详细阐述Android打包签名的各个环节。 一、理解签名的重要性 在Android系统中,每个安装在设备上的应用都需要通过签名来验证其来源和权限。...
Android Studio 生成 keystore 签名文件及打包验证流程
weixin_42504805的博客
04-08 2163
4、点击按钮 ok 后,Android Studio 会自动在app模块的build.gradle中添加签名信息,如下图所示。输入 keystore 的密码后,就可以在终端上看到 keystore 签名文件的配置信息了,如下图所示。5、签名配置成功后,把签名文件和环境关联,参照1流程,在Build Types里面进行设置。输入 以上命令后,就可以在终端上看到 keystore 签名文件的配置信息了,如下图所示。6、勾选签名效验方式,选择要打包的环境,点击按钮 Next 开始打包。1、在菜单栏中,依次点击。
AndroidKeystore密钥系统,保证本地加密算法的密钥安全性
冰码思维库
04-24 1721
1、AndroidKeystore密钥系统介绍 AndroidKeystore系统是一个密钥管理系统,谷歌设计这个系统的初衷应该是为了对标苹果的钥匙串KeyChain,有意思的是谷歌在Android4.0(API14)时便引入了KeyChain,但是并未提供详尽的说明文档,仅仅提供了一个API文档,网上也没有什么对它的文章,着实让人费解。话不多说,有兴趣的同学可以自行搜索,下面我来给大家介绍一...
AndroidKeystore 基础使用
weixin_39948196的博客
08-06 1537
暂缓
android android.security.keystore 服务
11-24
Android安全密钥服务(android.security.keystore)是Android系统提供的一个用于管理和保护应用程序密钥的框架。它通过使用安全硬件或安全软件来保护密钥,确保应用程序数据的保密性和完整性。 安全密钥服务的主要功能包括生成和存储密钥使用密钥进行加密和解密、生成和验证数字签名等。它使用了强大的加密算法和安全性措施,可以帮助开发者有效地保护应用程序的敏感数据。 安全密钥服务支持各种类型的密钥,包括对称密钥和非对称密钥。开发者可以根据应用程序的需求,选择合适的密钥类型,并使用相应的算法进行操作。此外,安全密钥服务还提供了丰富的API接口,使开发者能够灵活地使用和管理密钥使用安全密钥服务可以帮助应用程序应对各种安全威胁,如数据泄露、篡改和中间人攻击等。它可以防止恶意应用程序获取应用程序中的敏感数据,并保证应用程序的可信度和可靠性。 总之,Android安全密钥服务是一个重要的安全框架,可以帮助开发者有效地保护应用程序的敏感数据。通过利用这个服务,开发者可以提供更安全的应用程序,减少数据泄露和攻击风险。它是Android系统中不可或缺的一部分,对于建立信任和保护用户隐私至关重要。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃骨头不吐股骨头皮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值