这里讨论下如何使用Android Keystore保存密码等敏感信息,如何加密、解密数据。
在开始讨论之前我们先搞清楚一些基础知识。Keystore不只是可以保存密码,还可以保存敏感数据,而且它的实现方式使得黑客或者恶意程序很难破信息。
Android的Keystore系统可以把密钥保持在一个难以从设备中取出数据的容器中。当密钥保存到Keystore之后,可以在不取出密钥的状态下进行私密操作。此外,它提供了限制何时以何种方式使用密钥的方法,比如使用密钥时需要用户认证或限制密钥只能在加密模式下使用。
一个应用程式只能编辑、保存、取出自己的密钥。这个概念很简单,但是功能很强大。App可以生成或者接收一个公私密钥对,并存储在Android的Keystore系统中。公钥可以用于在应用数据放置到特定文件夹前对数据进行加密,私钥可以在需要的时候解密相应的数据。
如果你只是想看代码,可以直接点击这里。
简单起见,我写了一个demo演示如何使用Android Keystore保存密码,加密、显示加密形式以及解密。
这里我就不写xml了,都是一些简单的东西,我在文后贴出所有的代码。
我这里新建了2个类文件。一个是EnCryptor,另一个是Decryptor。通过名字很容易知道其功能。
创建新密钥
在开始编码之前,我们需要给加密/解密数据的别名进行命名,名字可以是任意字符串,但是不可以是空字符串。别名是显示在Android Keystore中生成的密钥的名字。
首先我们需要获取Android KeyGenerator的实例:
这里我们设置使用KeyGenerator的生成的密钥加密算法是AES,我们将在AndroidKeyStore中保存密钥/数据。
接下来我们能使用KeyGenParameterSpec.Builder 创建KeyGenParameterSpec ,传递给KeyGenerators的init方法。
KeyGenParameterSpec是什么,可以把它当作我们要生成的密钥的参数。例如,我们需要给密钥设置一个特定的过期时间。
KeyGenParameterSpec的代码:
首先我们传递了一个别名,这个名字可以是任意的,之后我们设置意图,是加密还是解密数据。
setBlockMode保证了只有指定的block模式下可以加密,解密数据,如果使用其它的block模式,将会被拒绝。可以在这里查看不同的block模式。
我们使用了“AES/GCM/NoPadding”变换算法,还需要设置KeyGenParameterSpec的padding类型。
加密数据
以上的执行完之后,加密数据非常简单:
首先我们使用keyGenParameterSpec初始化KeyGenerator,之后我们生成了SecretKey。
现在我们有了secretkey,我们可以初始化Cipher 对象,这将是实际的加密过程。我们需要设置Clipher编码类型:
之后我们有了ciphers initialization vector (IV)的引用,可以用于解密。我们使用doFinal(textToEncrypt)拿到了最终的编码,doFinal(textToEncrypt)返回的就是最重的加密数据。
解密
获取KeyStore实例:
我们用keyStore获取我们的secret key,我们还需要一个SecretKeyEntry:
之前KeyGenParameterSpecs中设置的block模式是KeyProperties.BLOCK_MODE_GCM,所以这里只能使用这个模式解密数据。
我们需要为GCMParameterSpec 指定一个认证标签长度(可以是128、120、112、104、96这个例子中我们能使用最大的128),并且用到之前的加密过程中用到的IV。
获取加密数据:
获取解密数据:
这就是整个过程了。
源码地址:HERE
推荐阅读:
