Nơi tốt nhất để lưu trữ khóa bí mật trong ứng dụng Android là gì?

Question

Nơi tốt nhất để lưu trữ khóa API, Khóa mã hóa cơ sở dữ liệu, v.v ... trong mã ứng dụng để không ai có thể lấy mã bằng cách giải mã mã? Tôi đã sử dụng proguard để làm xáo trộn mã nhưng nó không hoạt động trên Strings.

Answer 1

Không có cách nào để lưu trữ chúng trong ứng dụng. Ứng dụng có thể được giải mã hoặc thực hiện trên thiết bị đã được sửa đổi, cung cấp thêm quyền truy cập vào bộ nhớ của ứng dụng hoặc ứng dụng có thể được sửa đổi bởi kẻ tấn công để thêm ghi nhật ký mạng hoặc lưu trữ cơ sở dữ liệu/lưu trữ, v.v.

Để xác thực máy chủ, ứng dụng của bạn có thể có được mã thông báo xác thực (hoặc tương tự) bằng cách trao đổi thông tin đăng nhập do người dùng nhập cho mã thông báo xác thực hoặc bằng cách lấy các mã thông báo xác thực từ AccountManager hoặc các API tương tự. Bạn cũng có thể sử dụng API SafetyNet Attest (https://developer.android.com/training/safetynet/index.html) để chứng thực cho các máy chủ của mình rằng ứng dụng của bạn đã được ký bằng khóa ký đang tạo yêu cầu.

Để mã hóa cơ sở dữ liệu, ứng dụng có thể tạo khóa mã hóa ngẫu nhiên trên thiết bị, được liên kết với thông tin đăng nhập do người dùng nhập hoặc được lưu trữ trong Android Keystore hoặc đơn giản dựa vào bảo vệ do Android cung cấp cho ứng dụng. Nó phụ thuộc vào mô hình mối đe dọa của bạn (ví dụ, tại sao bạn nghĩ rằng bạn cần mã hóa cơ sở dữ liệu?)