这里讨论下如何使用Android Keystore保存密码等敏感信息,如何加密、解密数据。
在开始讨论之前我们先搞清楚一些基础知识。Keystore不只是可以保存密码,还可以保存敏感数据,而且它的实现方式使得黑客或者恶意程序很难破信息。
利用 Android 密钥库系统,您可以在容器中存储加密密钥,从而提高从设备中提取密钥的难度。在密钥进入密钥库后,可以将它们用于加密操作,而密钥材料仍不可导出。此外,它提供了密钥使用的时间和方式限制措施,例如要求进行用户身份验证才能使用密钥,或者限制为只能在某些加密模式中使用。
一个应用程式只能编辑、保存、取出自己的密钥。这个概念很简单,但是功能很强大。App可以生成或者接收一个公私密钥对,并存储在Android的Keystore系统中。公钥可以用于在应用数据放置到特定文件夹前对数据进行加密,私钥可以在需要的时候解密相应的数据。
如果你只是想看代码,可以直接点击这里。
简单起见,我写了一个demo演示如何使用Android Keystore保存密码,加密、显示加密形式以及解密。
这里我就不写xml了,都是一些简单的东西,我在文后贴出所有的代码。
我这里新建了2个类文件。一个是EnCryptor,另一个是Decryptor。通过名字很容易知道其功能。
创建新密钥
在开始编码之前,我们需要给加密/解密数据的别名进行命名,名字可以是任意字符串,但是不可以是空字符串。别名是显示在Android Keystore中生成的密钥的名字。
首先我们需要获取Android KeyGenerator的实例:
这里我们设置使用KeyGenerator的生成的密钥加密算法是AES,我们将在AndroidKeyStore中保存密钥/数据。
接下来我们能使用KeyGenParameterSpec.Builder 创建KeyGenParameterSpec ,传递给KeyGenerators的init方法。
KeyGenParameterSpec是什么,可以把它当作我们要生成的密钥的参数。例如,我们需要给密钥设置一个特定的过期时间。
KeyGenParameterSpec的代码:
首先我们传递了一个别名,这个名字可以是任意的,之后我们设置意图,是加密还是解密数据。
setBlockMode保证了只有指定的block模式下可以加密,解密数据,如果使用其它的block模式,将会被拒绝。可以在这里查看不同的block模式。
我们使用了“AES/GCM/NoPadding”变换算法,还需要设置KeyGenParameterSpec的padding类型。
加密数据
以上的执行完之后,加密数据非常简单:
首先我们使用keyGenParameterSpec初始化KeyGenerator,之后我们生成了SecretKey。
现在我们有了secretkey,我们可以初始化Cipher 对象,这将是实际的加密过程。我们需要设置Clipher编码类型:
之后我们有了ciphers initialization vector (IV)的引用,可以用于解密。我们使用doFinal(textToEncrypt)拿到了最终的编码, doFinal(textToEncrypt)返回的就是最重的加密数据。
解密
获取KeyStore实例:
我们用keyStore获取我们的secret key,我们还需要一个SecretKeyEntry:
之前KeyGenParameterSpecs中设置的block模式是KeyProperties.BLOCK_MODE_GCM,所以这里只能使用这个模式解密数据。
我们需要为GCMParameterSpec 指定一个认证标签长度(可以是128、120、112、104、96这个例子中我们能使用最大的128),并且用到之前的加密过程中用到的IV。
获取加密数据:
获取解密数据:
这就是整个过程了。
源码地址:https://github.com/wutongke/KeyStoreDemo
原文地址:https://medium.com/@josiassena/using-the-android-keystore-system-to-store-sensitive-information-3a56175a454b#.3lly5mk5i
欢迎关注公众号wutongke,每天推送移动开发前沿技术文章:
