私は自分のユーザーデータをAndroid用に安全にすることを検討しています。keyczarに出くわします。google-IOでAndroidのセキュリティについて話をしているKennyRootから提供されたandroid-keyczar-demoを見つけました 。しかし、私にはしつこい質問があります。キーはアプリにパッケージ化されているので、悪意のあるユーザーもそのキーを使用して機密データを復号化できるのではないでしょうか。keyczar docから、keyczarToolはキーを作成するためのコマンドラインツールであるため、アプリにパッケージ化することを意図していないようです。keyczarのキーをパスワードで保護できることに気づきました。ただし、ソースコードにパスワードをハードコーディングすることになります。ここで理解できないことは何ですか?
2074 次
1 に答える
4
あなたが見逃しているのは、同じユーザーが復号化できるようにしたい場合、ユーザーからキーを意味的に秘密にすることができないということです。そのため、DRMは機能しません。
keyczarにkeytoolがある理由は、セキュリティの重要な部分が時間の経過とともにキーを変更することであるため、keyczarは、機能を損なうことなくキーをローテーションする方法を提供します。
PBEキーセットは、ユーザーがパスワードを入力して復号化できるようにするためのものであり、ハードコーディングすることを意図したものではありません。このように、アプリのキーセットを指定すると、ユーザーにパスワードの入力を要求することで、ユーザーに復号化を提供しながら、攻撃者からデータを保護できます。(残念ながら、この機能はkeyczarのC ++、Go、およびC#バージョンにのみ存在します。現在はJavaバージョンには存在しません)。
また、すべてのユーザーに同じキーを持たせたくない場合は、アプリにキーセットを含める必要はありません。インストールを生成することもできます。しかし、モバイルスペースでの暗号化は難しく、何をしようとしているのか、必要なものを保護できるのか、keyczarが適切かどうかを知らずに言うのは難しいです。
于 2013-03-07T13:38:20.243 に答える