<p style="text-align: center;"><img src="https://simg.open-open.com/show/5f415ad6235558ab00087493e466d586.jpg"></p>    <p><strong>Android安全开发文章回顾</strong></p>    <p>Android开发中，难免会遇到需要加解密一些数据内容存到本地文件、或者通过网络传输到其他服务器和设备的问题，但并不是使用了加密就绝对安全了，如果加密函数使用不正确，加密数据很容易受到逆向破解攻击。还有很多开发者没有意识到的加密算法的问题。</p>    <h2><strong>1、需要了解的基本概念</strong></h2>    <p>密码学的三大作用：加密（ Encryption）、认证（Authentication），鉴定（Identification）</p>    <p>加密：防止坏人获取你的数据。</p>    <p>认证：防止坏人修改了你的数据而你却并没有发现。</p>    <p>鉴权：防止坏人假冒你的身份。</p>    <p>明文、密文、密钥、对称加密算法、非对称加密算法，这些基本概念和加密算法原理就不展开叙述了。</p>    <h2><strong>2、Android SDK提供的API</strong></h2>    <p><strong>2.1 Android 加密相关API结构</strong></p>    <p>Android SDK使用的API和JAVA提供的基本相似，由 Java Cryptography Architecture (JCA，java加密体系结构) ，Java Cryptography Extension (JCE，Java加密扩展包) ，Java Secure Sockets Extension(JSSE，Java安全套接字扩展包)，Java Authentication and Authentication Service(JAAS，Java 鉴别与安全服务)组成。</p>    <p>JCA提供基本的加密框架，如证书、数字签名、消息摘要和密钥对产生器，对应的Android API中的以下几个包：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/b5d26e674936e4395e402915075df0cf.jpg"></p>    <p>JCE扩展了JCA，提供了各种加密算法、摘要算法、密钥管理等功能，对应的Android API中的以下几个包：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/07d9ccd909f28c1358422f4711d867cf.jpg"></p>    <p>JSSE提供了SSL（基于安全套接层）的加密功能，使用HTTPS加密传输使用，对应的Android API主要是java.net.ssl包中。</p>    <p>JAAS 提供了在Java平台上进行用户身份鉴别的功能。对应的Android API主要在以下几个包：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/8f884e80f7a39a4629717c4d782fef8c.jpg"></p>    <p>它们其实只是一组接口，实际的算法是可由不同的Provider提供，Android API默认的Provider主要是是Bouncy Castle和OpenSSL。</p>    <p>此外Android API还提供了android.security和android.security.keystore（API 23新增）来管理keychain和keystore。</p>    <p><strong>2.2 Base64编码算法</strong></p>    <p>Base64编码算法是一种用64个字符（ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/）来表示任意二进制数据的方法。在计算机网络发展的早期，由于“历史原因”，电子邮件不支持非ASCII码字符，如果要传送的电子邮件带有非ASCII码字符（诸如中文）或者图片，用户收到的电子邮件将会是一堆乱码，因此发明了Base64编码算法。至于为何会乱码？请大家自行Google。在加解密算法中，原始的数据和加密后的数据一般也是二进制数据，为了不传输出错，方便保存或者调试代码，一般需要对加密后的数据进行base64编码。</p>    <p>Android提供了Base64编码的工具类android.util.Base64，可以直接使用，不用自己去实现base64编码的算法了。</p>    <p>如：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/0f41bebcafbbd3b702cce15a72a02231.jpg"></p>    <p><strong>聚安全对</strong> <strong>开发者建议：</strong></p>    <p>base64只是一种编码方式，并不是一种加密算法，不要使用base64来加密数据。</p>    <p><strong>2.3 随机数生成器</strong></p>    <p>在Android加密算法中需要随机数时要使用SecureRandom来获取随机数。</p>    <p>如：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/f35e323575c91180490b0ca982f4ea45.jpg"></p>    <p>注意不要给SecureRandom设置种子。调用seeded constructor或者setSeed(byte[])是不安全的。SecureRandom()默认使用的是dev/urandom作为种子产生器，这个种子是不可预测的。</p>    <p>聚安全对开发者建议：</p>    <p>1、不要使用Random类来获取随机数。</p>    <p>2、在使用SecureRandom时候，不要设置种子。使用以下函数设置种子都是有风险的：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/510ec0e7ba7e84c25cbb99c19f9054a2.jpg"></p>    <p><strong>2.4 Hash算法</strong></p>    <p>Hash算法是指任意长度的字符串输入，此算法能给出固定n比特的字符串输出，输出的字符串一般称为Hash值。</p>    <p>具有以下两个特点：</p>    <ul>     <li>抗碰撞性：寻找两个不同输入得到相同的输出值在计算上是不可行的，需要大约2的（n/2）次方的时间去寻找到具有相同输出的两个输入字符串。</li>     <li>不可逆：不可从结果推导出它的初始状态。</li>    </ul>    <p>抗碰撞性使Hash算法对原始输入的任意一点更改，都会导致产生不同的Hash值，因此Hash算法可以用来检验数据的完整性。我们经常见到在一些网站下载某个文件时，网站还提供了此文件的hash值，以供我们下载文件后检验文件是否被篡改。</p>    <p>不可逆的特性使Hash算法成为一种单向密码体制，只能加密不能解密，可以用来加密用户的登录密码等凭证。</p>    <p><strong>聚安全对</strong> <strong>开发者建议：</strong></p>    <p>1、建议使用SHA-256、SHA-3算法。</p>    <p>如使用SHA-256算法对message字符串做哈希：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/fada9de6ff2b5069b691c9f3155b6484.jpg"></p>    <p>2、不建议使用MD2、MD4、MD5、SHA-1、RIPEMD算法来加密用户密码等敏感信息。这一类算法已经有很多破解办法，例如md5算法，网上有很多查询的字典库，给出md5值，可以查到加密前的数据。</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/b9740344f665c1fcaa4d6a53aa1718ff.jpg"></p>    <p>3、不要使用哈希函数做为对称加密算法的签名。</p>    <p>4、注意：当多个字符串串接后再做hash，要非常当心。</p>    <p>如：字符串S，字符串T，串接做hash，记为 H (S||T)。但是有可能发生以下情况。如“builtin||securely” 和 “built||insecurely”的hash值是完全一样的。</p>    <p><strong>如何修改从而避免上述问题产生？</strong></p>    <p>改为H(length(S) || S || T)或者 H(H(S)||H(T))或者H(H(S)||T)。</p>    <p>实际开发过程中经常会对url的各个参数，做词典排序，然后取参数名和值串接后加上某个SECRET字符串，计算出hash值，作为此URL的签名，</p>    <p>如foo=1, bar=2, baz=3 排序后为bar=2, baz=3, foo=1，做hash的字符串为：SECRETbar2baz3foo1，在参数和值之间没有分隔符，则”foo=bar”和”foob=ar”的hash值是一样的，”foo=bar&fooble=baz”和”foo=barfooblebaz”一样，这样通过精心构造的恶意参数就有可能与正常参数的hash值一样，从而骗过服务器的签名校验。</p>    <p><strong>2.5 消息认证算法</strong></p>    <p>要确保加密的消息不是别人伪造的，需要提供一个消息认证码（MAC，Message authentication code）。</p>    <p>消息认证码是带密钥的hash函数，基于密钥和hash函数。</p>    <p>密钥双方事先约定，不能让第三方知道。</p>    <p>消息发送者使用MAC算法计算出消息的MAC值，追加到消息后面一起发送给接收者。</p>    <p>接收者收到消息后，用相同的MAC算法计算接收到消息MAC值，并与接收到的MAC值对比是否一样。</p>    <p><strong>聚安全对</strong> <strong>开发者建议：</strong></p>    <p>建议使用HMAC-SHA256算法，避免使用CBC-MAC。</p>    <p>HMAC-SHA256例子如下：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/89f6f0c77f01ba4fea5dbe54c293f10e.jpg"></p>    <p><strong>2.6 对称加密算法</strong></p>    <p>在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。</p>    <p>该算法的缺点是，如果一旦密钥泄漏，那么加密的内容将都不可信了。</p>    <p><strong>聚安全对</strong> <strong>开发者建议：</strong></p>    <p>1、建议使用AES算法。</p>    <p>2、DES默认的是56位的加密密钥，已经不安全，不建议使用。</p>    <p>3、注意加密模式不要使用ECB模式。ECB模式不安全，说明问题的经典的三张图片，如</p>    <p>明文是：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/41336aaadd0ba6e1614165c675abcb10.png"></p>    <p>用ECB加密模式后：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/eab678842af9ec354960cadac01d6b08.png"></p>    <p>用CBC加密模式后：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/15724c2e4183dbc4f7dfaddd7f4d1f5d.png"></p>    <p>4、Android 提供的AES加密算法API默认使用的是ECB模式，所以要显式指定加密算法为：CBC或CFB模式，可带上PKCS5Padding填充。AES密钥长度最少是128位，推荐使用256位。</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/b5830686008ac849cf314114528e97c3.jpg"></p>    <p><strong>2.7 非对称加密</strong></p>    <p>非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密（这个过程可以做数字签名）。</p>    <p>非对称加密主要使用的是RSA算法。</p>    <p><strong>聚安全对</strong> <strong>开发者建议：</strong></p>    <p>1、注意密钥长度不要低于512位，建议使用2048位的密钥长度。</p>    <p>使用RSA进行数字签名的算法，如：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/b2794109015f97572981d793f7001bc1.jpg"></p>    <p>2、使用RSA算法做加密，RSA加密算法应使用Cipher.getInstance(RSA/ECB/OAEPWithSHA256AndMGF1Padding)，否则会存在重放攻击的风险。</p>    <p>如：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/104bb9521807d2fff6fa75281129a0fd.jpg"></p>    <p><strong>2.8 加密算法PBE</strong></p>    <p>PBE是一种基于口令的加密算法，其特点是使用口令代替了密钥，而口令由用户自己掌管，采用随机数杂凑多重加密等方法保证数据的安全性。</p>    <p><strong>聚安全对开发者建议：</strong></p>    <p>使用基于口令的加密算法PBE时，生成密钥时要加盐，盐的取值最好来自SecureRandom，并指定迭代次数。</p>    <p>如：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/5c8617c8c37b71195dde2c750ca6d27a.jpg"></p>    <p>（以上所有示例算法仅供参考）</p>    <h2><strong>3、总结</strong></h2>    <p>几条原则：</p>    <p>1、不要自己设计加密算法和协议，使用业界标准的算法。</p>    <p>2、对称加密算法不要使用ECB模式，不建议使用DES算法。</p>    <p>3、要选择合适长度的密钥。</p>    <p>4、要确保随机数生成器的种子具有足够的信息熵。</p>    <p>5、不要使用没有消息认证的加密算法加密消息，无法防重放。</p>    <p>6、当多个字符串拼接后做hash，要非常当心。</p>    <p>7、当给算法加yan盐取值时不要太短，不要重复。</p>    <p>8、使用初始化向量时IV时，IV为常量的CBC，CFB，GCM等和ECB一样可以重放，即采用上一个消息的最后一块密文作为下一个消息的IV，是不安全的。</p>    <p>9、密钥应遵循的原则</p>    <p>（1）密钥不能为常量，应随机，定期更换，如果加密数据时使用的密钥为常量，则相同明文加密会得到相同的密文，很难防止字典攻击。</p>    <p>（2）开发同学要防范密钥硬编码的毛病。</p>    <p>而在实际开发中，密钥如何保存始终是绕不过的坎？如果硬编码在代码中容易被逆向，如果放在设备的某个文件，也会被有经验的破解者逆向找到，在这里推荐阿里聚安全的安全组件服务，其中的安全加密功能提供了开发者密钥的安全管理与加密算法实现，保证密钥的安全性，实现安全的加解密操作。</p>    <p><strong>参考：</strong></p>    <p>1、《Java加密与解密的艺术》</p>    <p>2、《Android Application Secure Design/Secure Coding Guidebook》</p>    <p>3、 <a href="/misc/goto?guid=4959728675820229246" rel="nofollow,noindex"> Lessons learned and misconceptions regarding encryption and cryptology </a></p>    <p>4、 <a href="/misc/goto?guid=4959728675912416007" rel="nofollow,noindex"> http:// netifera.com/research/f lickr_api_signature_forgery.pdf </a></p>    <p>5、 <a href="/misc/goto?guid=4959728675998325214" rel="nofollow,noindex"> http:// nelenkov.blogspot.com/2 012/04/using-password-based-encryption-on.html </a></p>    <p> </p>    <p>来自：https://zhuanlan.zhihu.com/p/24255780</p>    <p> </p>