14

我在 Android KeyStore 中存储了一个加密密码。

我想通过使用指纹 API 对用户进行身份验证来解密该密码。

据我了解,我必须调用该FingerprintManager.authenticate(CryptoObject cryptoObject)方法才能开始监听指纹结果。CryptoObject 参数的创建方式如下:

public static Cipher getDecryptionCipher(Context context) throws KeyStoreException {
    try {
        Cipher cipher = Cipher.getInstance(TRANSFORMATION);
        SecretKey secretKey = getKeyFromKeyStore();
        final IvParameterSpec ivParameterSpec = getIvParameterSpec(context);

        cipher.init(Cipher.DECRYPT_MODE, secretKey, ivParameterSpec);
        return cipher;

    } catch (NoSuchAlgorithmException | NoSuchPaddingException | IOException | UnrecoverableKeyException | CertificateException | InvalidAlgorithmParameterException | InvalidKeyException e) {
        e.printStackTrace();

    }

    return null;
}

Cipher cipher = FingerprintCryptoHelper.getDecryptionCipher(getContext());
FingerprintManager.CryptoObject cryptoObject = new FingerprintManager.CryptoObject(cipher);
fingerprintManager.authenticate(cryptoObject, ...);

该方法在调用getDecryptionCipher()之前正常工作。cipher.init()在这个调用中,我得到一个UserNotAuthenticatedException,因为用户没有通过这个 secretKey 的身份验证。这在某种程度上是有道理的。但这不是一个循环,不可能实现:

  • 为了验证用户身份,我想使用他/她的指纹
  • 为了听他/她的指纹,我需要初始化密码,作为回报,密码需要经过身份验证的用户

这里有什么问题??

编辑:

我使用模拟器(Nexus 4,API 23)。

这是我用来创建密钥的代码。

private SecretKey createKey() {
    try {
        KeyGenerator keyGenerator = KeyGenerator.getInstance(KeyProperties.KEY_ALGORITHM_AES, ANDROID_KEY_STORE);
        keyGenerator.init(new KeyGenParameterSpec.Builder(
                KEY_NAME,
                KeyProperties.PURPOSE_ENCRYPT | KeyProperties.PURPOSE_DECRYPT
        )
                .setBlockModes(KeyProperties.BLOCK_MODE_CBC)
                .setUserAuthenticationRequired(true)
                .setUserAuthenticationValidityDurationSeconds(AUTHENTICATION_DURATION_SECONDS)
                .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_PKCS7)
                .build());
        return keyGenerator.generateKey();
    } catch (NoSuchAlgorithmException | NoSuchProviderException | InvalidAlgorithmParameterException e) {
        throw new RuntimeException("Failed to create a symmetric key", e);
    }
}
4

2 回答 2

6

我找到了逃避 Catch 22 的方法!

你这样做:

你像往常try{ .init一样Cipher

  1. 如果没有UserNotAuthenticatedException(因为用户在您的密钥有效期内进行了身份验证,即因为他在几秒钟前解锁了他的设备)然后执行您的加密/解密程序。结束!

  2. 你抓住了UserNotAuthenticatedException- 运行FingerprintManager.authenticate工作流程null(是!)CryptoObject,然后在onAuthenticationSucceeded回调中再次初始化你的密码(是的!),但这次它不会抛出UserNotAuthenticatedException并使用这个初始化的实例来加密/解密(回调返回null我们用nullCryptoObject调用它,所以我们不能使用它)。结束!

就如此容易...

但是我花了两天的时间才通过反复试验找到这种方法。更不用说 - 似乎在线提供的所有身份验证示例都是错误的!

于 2018-06-18T08:10:39.180 回答
1

事实证明,该问题与一个已知问题有关,该问题KeyGenParameterSpec阻止在未经身份验证的情况下使用公钥(这正是公钥不需要的)。

可以在这里找到相关的问题/答案:Android Fingerprint API Encryption and Decryption

解决方法是PublicKey从最初创建的密钥创建一个并使用这个不受限制的 PublicKey 来初始化密码。所以我的最终密码使用 AES/CBC/PKCS7Padding 并通过以下方法初始化:

public boolean initCipher(int opMode) {
    try {
        Key key = mKeyStore.getKey(KEY_NAME, null);

        if (opMode == Cipher.ENCRYPT_MODE) {
            final byte[] encoded = key.getEncoded();
            final String algorithm = key.getAlgorithm();
            final X509EncodedKeySpec keySpec = new X509EncodedKeySpec(encoded);
            PublicKey unrestricted = KeyFactory.getInstance(algorithm).generatePublic(keySpec);

            mCipher.init(opMode, unrestricted);

        } else {
            final IvParameterSpec ivParameterSpec = getIvParameterSpec();
            mCipher.init(opMode, key, ivParameterSpec);

        }

        return true;

    } catch (KeyPermanentlyInvalidatedException exception) {
        return false;

    } catch ( NoSuchAlgorithmException | InvalidKeyException
            | InvalidKeySpecException | InvalidAlgorithmParameterException | UnrecoverableKeyException | KeyStoreException exception) {
        throw new RuntimeException("Failed to initialize Cipher or Key: ", exception);
    }
}

@NonNull
public IvParameterSpec getIvParameterSpec() {
    // the IV is stored in the Preferences after encoding.
    String base64EncryptionIv = PreferenceHelper.getEncryptionIv(mContext);
    byte[] encryptionIv = Base64.decode(base64EncryptionIv, Base64.DEFAULT);
    return new IvParameterSpec(encryptionIv);
}
于 2016-09-05T12:18:32.520 回答