好习惯：如何在android/java中处理密钥库密码？

Question

假设密钥库的密码不是由用户密码提供或绑定的（这或多或少意味着它只是代码中的某个字符串或数组[] []]，它是一种足够的保护，它不能或不能只能很难从字节码中提取出来？

我知道，对于一个密钥库（JKS/BKS）的密码只是用来验证密钥库的完整性。此外，我非常清楚，我必须假设应用程序运行在或多或少的可信环境中以保证“安全”。但无论如何，是否有可能从apk文件中提取密码？

就觉得这是不对的硬编码的应用程序的源代码中的任何密码，所以也许有一些想法，如何使它真正威胁较小。 例如在外部配置文件中配置密码或者在安装应用程序期间随机生成密码（以及应该存储在哪里）会更好吗？

Answer 1

它是一种足够的保护，它不能或只能很难从字节码中提取出来吗？

“足够” 是主观术语;只有你可以确定你对自己的感觉是否足够。

是有可能刚刚从apk文件解压密码？

是的，作为APK文件可以反编译，未加密的网络会话可以嗅探等

如何使它真正威胁较小

你可以购买一个许可证DexGuard并使用它，因为这会加密硬编码的字符串，如密码。这是否值得额外防守是你的决定。

会是更好地使外部配置文件

任何人谁根的设备可以得到在文件中的密码进行配置。

或者在安装应用程序期间随机生成它（以及它应该存储在哪里）？

它将被存储在某个地方，这个地方至少可以被固定设备用户使用。

Answer 2

使用密码对密钥库进行加密是非常普遍的事情，但它并非必不可少。

将密码存储在靠近密钥库的位置或多或少等同于密钥库未加密。这可能是完全正确的。在两个证书的未加密密钥库中使用其他方式保护密钥库文件的服务器上的私钥是很常见的。

你似乎试图在这里防范的攻击类型是如果有人能够改变密钥库的内容。密码可以用来验证密钥库的完整性，但只有在攻击者未知的情况下才可以。它无法想象攻击者可以访问密钥库但无法访问应用程序的字节码或应用程序的其他配置的典型场景。

Android中应用程序的文件系统是合理安全的，但不以任何方式防弹。如果您不信任该文件系统，则需要使用用户输入的密码或从设备外部其他位置获取的密码对密钥库进行加密。另一方面，如果您信任文件系统，则实际上根本不需要加密密钥库（或者，如果您的开发更容易，可以使用众所周知的密码对其进行加密）。使用代替密码为空

Answer 3

尝试（见this question）

final KeyStore keyStore = KeyStore.getInstance("BKS"); 
    keyStore.load(context.getResources().openRawResource(R.raw.serverkeys), null); 

    final KeyManagerFactory keyManager = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); 
    keyManager.init(keyStore, null); 

    final TrustManagerFactory trustFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); 
    trustFactory.init(keyStore); 

    sslContext = SSLContext.getInstance("TLS"); 
    sslContext.init(keyManager.getKeyManagers(), trustFactory.getTrustManagers(), null);