問題タブ [secret-key]

この init が成功する理由:

これは失敗しますが：

スレッド「メイン」で例外をスローする java.security.InvalidKeyException: パラメータがありません

secretKey は KeyGenerator によって生成され、secureRandom はランダムな静的シード セットを使用して SecureRandom.getInstance("SHA1PRNG") によって生成されます。

ありがとう

バイト配列を元の SecretKey に変換しようとしてきましたが、これ以上のアイデアは残っていません。最も有望な試みはこれでした：

ここにあります：秘密鍵を文字列に、またはその逆に変換する

インポート javax.crypto.spec.SecretKeySpec を使用しているため、少なくともhttp://docs.oracle.com/javase/1.5.0/docs/api/javax/を参照して、SecretKeySpec のコンストラクタを正しく使用する必要があります。 crypto/spec/SecretKeySpec.html .

それにもかかわらず、私は常に「The Method SecretKeySpec is undefined for ... [Class Name]」を取得します-これは取得できません。

ちょっとしたミスだと思うのですが、よくわかりません。誰かがここで私を助けてくれますか?

アプリの1つで使用している2つの秘密を隠そうとしています。

キーホルダーは良い場所だと理解していますが、アプリを送信する前にキーチェーンを追加することはできません。

私はこのシナリオについて考えました-

• シークレットを他のエンティティに拡散して隠蔽することにより、アプリのCoreDataデータベースにシークレットを事前にシードします。（私はすでにそのアプリにシードDBを持っています）。
• アプリが初めて起動したら、キーを生成してキーチェーンに移動します。
• CoreDataからレコードを削除します。

それは安全ですか、それともハッカーはこれが起こっているのを見てそれらの鍵を手に入れることができますか？

* 3番目の編集**このシナリオを最初から説明しなかったことをお詫びします-アプリには多くのレベルがあり、各レベルにはファイル（オーディオ、ビデオ、画像）が含まれています。ユーザーはレベル（IAP）を購入できます。購入が完了したら、ファイルを自分のデバイスにダウンロードする必要があります。

iOS6の場合、ファイルはAppleの新しい「ホストコンテンツ」機能で保存されます。iOS5の場合、ファイルはAmazonS3に保存されます。

したがって、このすべてのプロセスで、2つのキーがあります。1。AppleIAPでの購入を確認するためのIAPキー。2.iOS5ユーザー向けにS3からファイルを取得するためのS3キー：

それらのキーを保護する必要がありますか？レベルを購入しなくても、S3からファイルを取得できるようになるのではないかと心配しています。または、ハッカーは、すべてのレベルが事前にダウンロードされたハッキン​​グされたバージョンを作成できるようになります。

I'm building a basic webapp that takes in a user input and returns an encrypted password.

Problem is, currently the SecretKey I am using is stored in the src for the Java class. To me, it seems this is risky practice so I'm trying to find a way to safely store my SecretKey.

Doing some research, I found the Java KeyStore class but I'm not entirely sure if this is what I need. Also, if this is what I need, can you guys point me in the direction of how to implement it, and more importantly, how it works?

Thanks

Edit: From doing a lot of thinking/reading it seems like there really isn't a great solution and really a solution isn't needed so long as your main server is secure, which mine will be, so it's not an issue.

Thank you for all the replies! :)

私はここで検索を行っており、キーに関する多くの Q を読みましたが、残念ながら、スマート カードやポータブル デバイスについて質問する人は誰もいませんでした。

これが私の質問です：

機密性の高い医療情報を保存するスマートカードを持っています。、カード内の対称アルゴリズムを使用してこの情報を暗号化する必要があります。しかし、私は秘密鍵について本当に混乱しています。

• どこに保管すればいいですか？
• 新しい情報を保存するたびに生成する必要がありますか?
• 強力なキーを 1 つ選択し、変更せずにどこかに保存する必要がありますか?

を使用して Django を 1.4.3 から 1.5.1 にアップグレードしましpip install django --upgradeた。アップグレード後、開発サイトで内部サーバー エラーが発生し始めました。コマンドを実行しようとしまし./manage.pyたが、「secret_key 設定を空にしないでください」と表示されました。settings.pyファイルを確認したところ、SECRET_KEYそこに値があります。だから私はそこで何が起こっているのか分かりません。他の誰かが同じ問題を抱えていますか？

秘密鍵をstrings.xmlに配置しています。apktool を使用してリバース エンジニアリングでチェックしたところ、strings.xml ファイルを R$string.smali として取得し、そのファイルをチェックインしてキーが表示されているかどうかを確認したところ、キー文字列が次のように見つかりました。

このIDからキーをフェッチする可能性はありますか、またはstrings.xmlファイルからシークレットキーをフェッチするための他のプロセスがありますか?

A と B は、秘密鍵 K を共有します。安全でないチャネルを介して通信するときに、両者間の通信の開始者が受信者を認証するために、次のプロトコルに同意します。扇動者は、鍵と同じ長さの乱数 R を共有秘密鍵と XOR することによって暗号化します。次に、結果を相手に送信します。受信者は、メッセージを秘密鍵で XOR することによってメッセージを復号化し、結果を送信者に返します。

1. A が B との通信を開始し、11FF を 16 進数で送信し、B が 830A を返信した場合、A と B が共有する秘密鍵の 16 進数値を決定します。

11FF と 830A のバイナリ等価を xor することでこの問題を解決しようとしましたが、正しい答えが得られたとは思いません

サーバーとアプリケーションの両方で使用される秘密鍵があります。このキーは、リクエストがアプリケーションからのものであることを確認するために使用されます。サーバーはユーザーを登録していませんが、このアプリケーションでユーザーはリクエストを送信できます。

別の解決策が見つかりません...非対称キー、Diffie-Hellmanについて考えました...しかし、対称キー以外に問題を解決するものはありません...しかし問題は、そのキーをJavaコードに保存して保護する方法です?