有许多加密算法,其中大多数需要IV和KEY和Plaintext。
在 Android 中,我们必须将其中的 3 个添加到我们的代码中。另一方面,Android 是开源的,每个人都可以提取 APK 文件并访问IV和KEY,这并不使其安全。
哪些算法更好、更牢不可破,可以在 Java 和 PHP 中应用。我正在开发一个类似于 Instagram/Facebook/Twitter 的项目,安全性是此类应用程序的第一个问题。
1 回答
0
让我们从基本的东西开始:
- 永远不要在源代码中存储 IV/KEY 或在应用程序文件系统中未加密
- 您可能想查看 Android KeyStore 及其支持的操作
- 您可能需要依赖硬件密钥库的存在(以便用户无法修改本地存储的密钥)
有关更多信息,我建议您查看OWASP MSTG ——Android Data Store 和 Android Cryptographic APIs 可能会让您感兴趣
于 2018-10-25T09:20:14.243 回答