是否可以通过某些非私有API访问应用程序签名的证书,以便加密数据以与服务器进行交换?
实际上我(例如)有一个Web服务,我只想让自己的iOS应用程序访问它。我想到了使用代码签名的证书来加密客户端应用程序上的证书私钥并使用证书公钥在服务器上对其进行加密(例如常量数据)(以提取所述常量数据) )检查应用程序标识。
由于每个iOS应用都使用独特的证书进行签名,因此可以通过这种方式识别每个应用。
这种方法是否正确且可行?
是否有任何API可以访问应用程序证书并进行此类计算?
感谢您的帮助,
答案 0 :(得分:1)
您正在描述的一般过程(使用客户端的私钥在服务器上使用公钥进行身份验证)是正确的。请注意,它不是加密过程,而是数字签名。但是,访问应用程序签名证书是不够的,因为签名私钥未嵌入到应用程序中。此外,此证书目标是代码签名,将其用于客户端 - 服务器通信安全等其他目的并不是一个好习惯。
解决方案可以包括具有您的应用资源的专用证书/私钥,并使用此证书通过客户端身份验证打开HTTPS连接。缺点是越狱设备上的攻击者能够对您的应用进行逆向工程并提取机密密钥,以便在授权应用程序之外对服务器进行身份验证。
关于在iOS应用程序中存储/分发机密数据的stackoverflow有很多讨论,其中包括专业知识。缺点(例如here或here)。