iOS-公钥锁定TrustKit

于 2024-11-17 13:15:54 发布
阅读量149 收藏
点赞数
文章标签: ios
原文链接:https://blog.csdn.net/weixin_44836266/article/details/138607973
版权

1. SSL简介

证书锁定(SSL/TLS Pinning)顾名思义,将服务器提供的SSL/TLS证书内置到移动端开发的APP客户端中,当客户端发起请求时,通过比对内置的证书和服务器端证书的内容,以确定这个连接的合法性。

2. 证书锁定原理

证书锁定(SSL/TLS Pinning)提供了两种锁定方式: Certificate Pinning 和 Public Key Pinning,文头和概述描述的实际上是Certificate Pinning(证书锁定)。

1.1 证书锁定
我们需要将APP代码内置仅接受指定域名的证书,而不接受操作系统或浏览器内置的CA根证书对应的任何证书,通过这种授权方式,保障了APP与服务端通信的唯一性和安全性,因此我们移动端APP与服务端(例如API网关)之间的通信是可以保证绝对安全。但是CA签发证书都存在有效期问题,所以缺点是在证书续期后需要将证书重新内置到APP中

1.2 公钥锁定
公钥锁定则是提取证书中的公钥并内置到移动端APP中,通过与服务器对比公钥值来验证连接的合法性,我们在制作证书密钥时,公钥在证书的续期前后都可以保持不变(即密钥对不变),所以可以避免证书有效期问题。

所以我们最终选择使用公钥锁定,为避免证书过期需要客户端更新的问题

1.3 客户端获取公钥
这里采用公钥锁定的方式,则需要获取证书公钥的摘要hash,该值由服务器端提供,提取证书的摘要hash并查看base64的格式,示例:bAExy9pPp0EnzjAlYn1bsSEGvqYi1shl1OOshfH3XDA=,这就是我们将要进行证书锁定的指纹(Hash)信息

1.4 客户端使用SSL锁定选择
1、网络框架是Alamofire,其实该SDK本身支持SSL证书锁定,但是只支持证书锁定,需要将证书放在项目,读取证书的内容进行锁定
2、常用的第三方SDK TrustKit,提供了使用公钥锁定,只需设置域名和对应的Hash值,然后处理网络系统回调方法:

    func urlSession(_ session: URLSession, task: URLSessionTask, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping @Sendable (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {

    }

选择使用TrustKit来进行公钥锁定

1.5 项目支持SSL证书锁定
1、podFile引入TrustKit框架,github源码
2、初始化TrustKit,在AppDelegate应用程序启动的方法中添加以下代码:

let trustKitConfig: [String: Any] = [
	kTSKSwizzleNetworkDelegates: false,
	kTSKPinnedDomains: [
		"oversea-sit.yolanda.hk": [
			kTSKIncludeSubdomains: true,
			kTSKEnforcePinning: true,
			kTSKPublicKeyHashes: [
				"rseBZG6ykune+DEw3uysPJokdBusGMtrTeJlHd7bHLA=",
				"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA="
			]
		]
]]
TrustKit.initSharedInstance(withConfiguration: trustKitConfig)

3、实现自定义代理方法:

class CustomSessionDelegate: SessionDelegate {
    override func urlSession(_ session: URLSession, task: URLSessionTask, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {
        print("testLog: didReceive challenge")
        if TrustKit.sharedInstance().pinningValidator.handle(challenge, completionHandler: completionHandler) == false {
            // TrustKit did not handle this challenge: perhaps it was not for server trust
            // or the domain was not pinned. Fall back to the default behavior
            completionHandler(.performDefaultHandling, nil)
        }
    }
}

4、修改网络的初始化方法,设置自定义代码类

let configuration = URLSessionConfiguration.default
configuration.timeoutIntervalForRequest = 10
configuration.timeoutIntervalForResource = 10
self.session = Session(configuration: configuration, delegate: CustomSessionDelegate())

5、测试验证
使用Charles设置网络抓包,网络请求接口响应错误提示:


Charles上的表现截图:


修改前在Charles上的截图:


原文链接:https://blog.csdn.net/weixin_44836266/article/details/138607973

想名真难
关注
TrustKit:针对iOS,macOS,tvOS和watchOS的轻松SSL固定验证和报告
02-02
信任套件 TrustKit是一个开源框架,可以轻松在任何iOS 11 +,macOS 10.13 +,tvOS 11+或watchOS 4+ App中部署SSL公钥固定和报告。 它同时支持Swift和Objective-C应用。 如果您需要在Android应用中进行SSL固定/报告。 我们还在发布了适用于Android的TrustKit 。 总览 TrustKit提供以下功能: 简单的API,用于配置SSL固定策略并在应用程序内实施。 策略设置主要基于。 通过固定证书的主题公共密钥信息(。 报告机制,用于在检测到意外的证书链时通知服务器有关App内发生的固定验证失败的信息。 这类似于HPKP规范中描述的report-uri指令。 还可以利用TrustKit发送的管脚验证通知,在应用程序内自定义报告机制。 通过固定应用程序的NSURLConnection和NSURLSession委托来自动固定功能,以便自动将固定验证添加到应用程序的HTTPS连接; 这样就可以部署TrustKit ,甚至无需修改应用程序的源代码。 入门 阅读指南。 查阅。 TrustKit最初在大会上发布
公钥(Public Key)与私钥(Private Key)
c1sdn19的专栏
11-09 1万+
公钥(Public Key)与私钥(Private Key) 公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的...
IOS 查看安装包的公钥 SHA1等信息
初遇你时动了情
01-10 3379
显示不完整,您可先单击省略号,如果省略号仍然打不开或不显示,直接复制。,进入证书后,下载对应App证书。通过查看详细信息,获取公钥(,使用App对应的iOS开发者账号登录。省略号前面显示出的数据进行填写即可。公钥与签名SHA1值获取:在。Bundle ID获取:在。)和签名SHA1值(
iOS苹果在线获取公钥和SHA-1
yuyang3的博客
01-16 1405
方式1: 终端执行 brew install jadx, 执行完毕后,终端再输入命令 jadx-gui,即可打开jadx;②MD5签名/MD5 Fingerprint值: 备案填写时需去掉空格, 填写32位长度的十六进制数据。②MD5签名/MD5 Fingerprint值: 备案填写时需去掉空格, 填写32位长度的十六进制数据。SHA-1签名/SHA-1 Fingerprint值。SHA-1签名/SHA-1 Fingerprint值。①公钥: 模数/Modulus, 十进制显示的;
IOS开发rsa加密,解密,公钥,私钥导入
09-05
IOS开发rsa加密,解密,公钥,私钥导入,导入方法有字符串导入,文件导入两种形式。
Object-C-iOS上使用Object-C进行RSA算法的加密+解密实现代码
10-12
Object-C-iOS上使用Object-C进行RSA算法的加密+解密实现代码 在iOS平台上,Object-C是开发原生应用的主要编程语言之一,尤其在苹果的移动设备上。RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,广泛应用于...
SM2椭圆曲线公钥密码算法-part4-公钥加密算法.pdf
06-19
SM2椭圆曲线公钥密码算法-part4-公钥加密算法; 国密算法 标准文件;
openssl_1.1.1d-ios-arm64.zip
05-24
标题 "openssl_1.1.1d-ios-arm64.zip" 暗示这是一个针对iOS设备,基于arm64架构的OpenSSL库的压缩包。OpenSSL是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现,同时也包含了一些常用的加密算法、证书工具...
BlockstackBrowser-ios-deprecated:适用于iOS的Blockstack Browser应用[不建议使用]
05-15
BlockstackBrowser-ios 该软件包已被弃用,将不再与现代的Blockstack平台一起使用。 请使用 。 适用于iOS的完整本机区块堆栈浏览器的Alpha版本。 该版本的浏览器包含了来自网络版本的块堆栈浏览器的大多数功能。 ...
程序员面试刷题的书哪个好-iOS-basic-knowledge:iOS基础知识整理
07-07
iOS-basic-knowledge iOS 基础知识整理 网络相关 1、Https 和 Http 区别 Https 需要向机构申请 CA 证书,极少免费 Https 基于 SSL/TSL 进行加密传输,http 是明文传输 Http 的端口号是80,https 的端口号是443 Https...
TrustKit-Android,为Android提供简单的SSL固定验证和报告。.zip
09-25
trustkit android是一个开源库,可以在任何android应用程序中轻松部署ssl公钥锁定和报告。
在线获取iOS获取公钥、SHA-1 、MD5进行提交备案
最新发布
初雪云
10-21 1722
APP备案是指在国家或地方政府相关部门进行的申请和登记程序,旨在规范和管理移动应用的发布和运营。根据相关法律法规,所有在中国境内发布和运营的APP都需要进行备案。合规性:确保应用符合国家法律法规,避免违法违规行为。安全性:提高用户对应用的信任,保护用户隐私和数据安全。管理透明:促进应用市场的健康发展,维护公平竞争。在备案过程中,开发者需要提供应用的公钥和SHA-1指纹,MD5等信息。公钥是加密算法中用于加密和解密信息的密钥之一。
App审核 (ios) 所需公钥以及MD5获取方法
llllp22的博客
12-08 739
获取IOS的证书的MD5以及公钥
获取ios、android备案公钥、MD5等值在线查询
weixin_48914851的博客
11-27 804
分享一个视化工具,上传证书在线查询就可以获取app的公钥和MD5值,省去了很多时间,无需安装工具和使用mac电脑即可获取到公钥,而且这个工具的查询结果包含了各平台需要的公钥原文、公钥16进制和公钥10进制的值
App ICP备案获取iOS和Android的公钥和证书指纹
培根芝士的专栏
02-02 4173
依照《工业和信息化部关于开展移动互联网应用程序备案工作的通知》,向iOS和安卓平台提交App时需要先提交ICP备案信息。
iOS 系统获取 Bundle ID、平台公钥、签名 MD5 值的指引
热门推荐
kejia90的专栏
10-30 1万+
说明:若公共密钥未完整显示,可以先单击省略号,如果仍然未能完整显示出来,请复制省略号前面显示出的数据进行填写。5. 通过查看证书详细信息,可获取公钥和签名 SHA1 值。1. 获取 Bundle ID:使用 APP 对应的 IOS 开发者账号登录。以上为iOS app Bundle ID、公钥、签名 MD5 值获取说明。页面,可查看证书详情,并下载 APP 对应的证书。android app 如何获取公钥,请参考。3. 获取公钥与签名 SHA1 值:在。
阿里云app备案--IOS公钥及证书获取方式
weixin_43407833的博客
03-07 737
3.解压文件,运行appuploader工具:双击运行解压后的appuploader,打开证书页面。1.拿到IOS上架应用商店的文件(文件类型:ipa、p12、plist)2.下载appuploader。
APP备案,iOS签名文件MD5、公钥获取方法
caixiongshuo的博客
10-11 8135
本文介绍如何获取iOS签名文件中md5、公钥的信息
app备案ios公钥和md5的获取方法
甄仕俊的专栏
09-05 2372
最近app需要备案才能上架了 但是app备案的时候,特别是ios备案的时候需要提供app的公钥和md5比较头大,无论是android系统还是ios系统,都需要提供证书的公钥和md5。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值