如何安全地保存我的密钥库?

时间:2015-10-26 13:00:43

标签: java android ssl x509certificate keystore

我编写了一个API,以便我的不同应用程序可以使用它。它只是检查应用程序是否已在服务器上注册。如果没有,则会生成公共/私有密钥对,并通过将CSR发送给我获得签名证书服务器。下次使用签名证书和私钥时。最初我有raw的默认密钥库文件(b / c我所有的通信都通过SSL,即最初使用默认密钥库,并在用户生成的密钥库注册后)

我的API工作正常。我遇到的问题与我缺乏知识或错误的方法有关,因此我需要帮助。

我正在使用以下类来保存/检索我的密钥对

public class KeyIOHandler {


    public static void writePublicKeyToPreferences(KeyPair key, Context context) {
        StringWriter publicStringWriter = new StringWriter();
        try {
            PemWriter pemWriter = new PemWriter(publicStringWriter);
            pemWriter.writeObject(new PemObject("myapp.PUBLIC KEY", key.getPublic().getEncoded()));
            pemWriter.flush();
            pemWriter.close();
            SharedPreferences preferences = context.getSharedPreferences("SHARED_PREFERENCES",0);
            preferences.edit().putString("RSA_PUBLIC_KEY", publicStringWriter.toString()).commit();
            Log.e("Public  Key", publicStringWriter.toString());
        } catch (IOException e) {
            Log.e("RSA", e.getMessage());
            e.printStackTrace();
        }
    }

    public static void writePrivateKeyToPreferences(KeyPair keyPair, Context context) {
        StringWriter privateStringWriter = new StringWriter();
        try {
            PemWriter pemWriter = new PemWriter(privateStringWriter);
            pemWriter.writeObject(new PemObject("myapp.PRIVATE KEY", keyPair.getPrivate().getEncoded()));
            pemWriter.flush();
            pemWriter.close();
            SharedPreferences preferences = context.getSharedPreferences("SHARED_PREFERENCES",0);
            preferences.edit().putString("RSA_PRIVATE_KEY", privateStringWriter.toString()).commit();
            Log.e("Private Key",privateStringWriter.toString());
        } catch (IOException e) {
            Log.e("RSA", e.getMessage());
            e.printStackTrace();
        }
    }

    public static PublicKey getRSAPublicKeyFromString(String publicKeyPEM) throws Exception {
        publicKeyPEM = stripPublicKeyHeaders(publicKeyPEM);
        KeyFactory keyFactory = KeyFactory.getInstance("RSA", "SC");
        byte[] publicKeyBytes = Base64.decode(publicKeyPEM.getBytes("UTF-8"));
        X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(publicKeyBytes);
        return keyFactory.generatePublic(x509KeySpec);
    }

    public static PrivateKey getRSAPrivateKeyFromString(String privateKeyPEM) throws Exception {
        privateKeyPEM = stripPrivateKeyHeaders(privateKeyPEM);
        KeyFactory fact = KeyFactory.getInstance("RSA", "SC");
        byte[] clear = Base64.decode(privateKeyPEM);
        PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(clear);
        PrivateKey priv = fact.generatePrivate(keySpec);
        Arrays.fill(clear, (byte) 0);
        return priv;
    }

    public static String stripPublicKeyHeaders(String key) {
        //strip the headers from the key string
        StringBuilder strippedKey = new StringBuilder();
        String lines[] = key.split("\n");
        for (String line : lines) {
            if (!line.contains("BEGIN PUBLIC KEY") && !line.contains("END PUBLIC KEY") && !isNullOrEmpty(line.trim())) {
                strippedKey.append(line.trim());
            }
        }
        return strippedKey.toString().trim();
    }

    public static String stripPrivateKeyHeaders(String key) {
        StringBuilder strippedKey = new StringBuilder();
        String lines[] = key.split("\n");
        for (String line : lines) {
            if (!line.contains("BEGIN PRIVATE KEY") && !line.contains("END PRIVATE KEY") && !isNullOrEmpty(line.trim())) {
                strippedKey.append(line.trim());
            }
        }
        return strippedKey.toString().trim();
    }

    public static boolean isNullOrEmpty(String str) {
        return str == null || str.isEmpty();
    }
}

并且通过使用以下方法,我正在生成我的密钥库,但我很困惑我可以安全地存储这个密钥库的方式和位置,以便我可以在应用程序的剩余时间内使用它。(除非密钥被盗) 。就像在共享首选项中一样,我无法存储任何对象,所以在哪里保存这个keystore.Right现在我的类中有静态keystore对象。(这是我知道的最糟糕但只是让它工作我已经使它静止了)

private boolean  addToStore(){
        try {
            Security.insertProviderAt(new org.spongycastle.jce.provider.BouncyCastleProvider(), 1);
            clientPkcs12 = KeyStore.getInstance("PKCS12");
            clientPkcs12.load(null, null);
            clientPkcs12.setKeyEntry("clientCert", keyPair.getPrivate(), "123456".toCharArray(), chain);
        }
        catch(Exception ex){
            Log.e("",ex.getCause().getMessage());
        }
        return false;
    }

我已经发了几篇帖子,其中有一个明显的nelenkov.blogspot但是没有得到我如何实现我的目标或者我在保存密钥库时错了?我的意思是我每次都要创建密钥库吗?

2 个答案:

答案 0 :(得分:1)

当您拥有Keystore时,我不知道您为什么要将凭据保留在共享首选项中。将密钥库文件加载到内存后,您可以随时添加/检索密钥。完成后,只需将其保存在文件中:

FileOutputStream out = new FileOutputStream(keystoreFile);
    keystore.store(out, password);
    out.close();

从文件加载:

keystore.load(new FileInputStream(keystoreFile, password);

@answer发表评论

您应该只使用Keystore。来自共享首选项的数据不安全,并且从中检索私钥非常容易。您没有使用任何类型的加密,因此您的密钥存储在普通的PEM文本中。但是如果你使用Keystore,你的密钥是受密码保护的(在密钥级别和密钥库级别),所以如果有人获得没有密码的Keystore文件,那么他就更难打破密码。保留Keystore文件的最佳位置是您的应用内部空间磁盘,如果没有root电话(创建文件时为Context.MODE_PRIVATE),则无法访问该文件。

答案 1 :(得分:0)

你已经回答了自己的问题。将它们保存在首选项文件中的KeyStore而不是

相关问题
最新问题