为所有用户使用单一证书

时间:2011-05-19 16:39:47

标签: android certificate

我正在考虑使用CA通过我的应用程序通过https对我的网络服务器进行身份验证。

我的问题是:黑客从手机上窃取证书有多容易?

场景是:我的应用程序的每个用户都使用与应用程序捆绑在一起的相同证书,有人将其从手机中删除(不知何故?),将其发布到网络上,现在Web服务器正在获取ddos'd 。然后我必须使证书无效,但之后我已经使所有我的用户无效。

黑客做这件事有多难?如果这很容易,那么根本不值得拥有证书。

1 个答案:

答案 0 :(得分:0)

我会说从应用程序中提取它是微不足道的。有两部分:证书(基本上是公钥)和密钥。

对于HTTPS,证书在线路上以明文形式显示,用于建立加密会话。

但这不是你担心的证书 - 这是公开的,而且需要 - 这是另一半,秘密密钥。要使HTTPS正常工作,您需要使用密钥执行部分初始建立序列。

证书和密钥的关键部分是相同的。一组称为模数的字节。从线上取下(因为它会在那里),搜索您的应用图像以获得相同的模数,并且您的黑客将在附近拥有秘密部分,并且可以欺骗他的内心。

糟糕的主意,真的。