移动应用加密工具解析
移动互联网的普及,越来越多的移动应用陷入安全门,各种信息泄露、盗号风波层出不穷。越来越多的黑客盯上了移动应用,而SD 卡中以明文存放的个人信息,数据库中未加密存储的用户名和密码,收集的分析并以明文方式发到远程服务器,这些情况都使得黑客攻击更容易。
正确使用Cryptography 工具,能保护我们的敏感数据,确保隐私和数据完整。另一方面,加密难用且容易误用。这里给大家推荐下目前移动应用适用的加密工具。
Bouncy Castle
Legion of the Bouncy Castle 是一个来自澳大利亚的公益团体,他们编写了Bouncy Castle这个广泛使用的类库。该库既提供了一个轻量级的密码学API,也是一个Java密码 扩展的提供者。安卓平台已经内置了一个精简过的老版本 Bouncy Castle(同时为了适配安卓平台也做了一些细小的改动)。结果就是任何在应用程 序中构建和使用最新版本BouncyCastle类库的尝试都将导致类加载冲突。
Spongy Castle
SpongyCastle 背后的动机是允许安卓开发者在应用程序中使用任意版本的BouncyCastle类库。SpongyCastle就是对最新版本的 BouncyCastle进行了简单地重新打包;所有的org.bouncycastle.*包重命名为了org.spongycastle.*,所有 Java安全API提供者的名字由BC改为了SC。
OpenSSL
OpenSSL 是一个实现了SSL和TLS协议以及通用密码库的开源工具包。OpenSSL已经被移植到了很多平台,包括安卓。做为一个替代方案,你也可以从源码构建, 然后绑定到应用程序中。这些工具包并没有实现任何奇特的加密功能,也没有尝试替代任一上述的密码学库;相反它们基于这些类库构建,唯一的目的是使得使用加 密功能更简单更安全。
与 通用密码学库相反,这些工具包通常只支持一部分算法、模式、结构、参数。对于通用加密工具需要设定的部分,这些工具包为你提供了合理的默认值,以防你知道 想要什么,但是不知道如何使用,或者只在乎最终有个安全的解决方案。让我们检查几个这类工具包以便来更好的理解它们的运行规则。
Keyczar
Keyczar 是一组开源工具包,最初由两位谷歌安全团队成员开发,用Java,Python和C++语言实现,并支持对称加密和费堆成加密两种鉴权方式。 Keyczar提供安全的默认设定,包括算法,秘钥长度和模式,秘钥循环和版本化,初始向量和授权码自动生成,支持国际化。该工具包基于JCE构建,使用 了Spongy Castle的安全提供程序。
AeroGear Crypto
AeroGear Crypto 是AeroGear提供的一个小的Java库。它支持可认证的对称加密,椭圆曲线加密,基于密码的秘钥推导。它也提供了算法的显式设定。 AeroGear Crypto在android平台依赖Spongy Castle,在其他平台上依赖Bouncy Castle。该库在iOS、 Windows Phone和Cordova 上同样可用。
Conceal
为 了能够快速并使用很少内存对SD卡上的大型文件实现加密和认证,脸谱开发出了Conceal。Conceal既可以进行认证,也可以进行加密,同时默认也 提供了密钥管理功能。它使用的是 OpenSSL,不过仅包含自己需要的那部分,因此其大小仅为85KB。Conceal站点上公布的结果显示它优于 Bouncy Castle。
下 表对上面所介绍的加密库做了总结。上文介绍的所有的库可以让加密方面的新手安全地进行加密,不过高级开发人员可以不使用这些默认做法,可以按照自己的意愿 指定所有的加密细节(就像他们在使用其他加密库那样)。这里需要提出的是,新手在加密这一安全环节,可以使用移动应用的加密服务,比如爱加密、云安全等, 可以有效且全面的保护移动应用安全。
加密库 | 开发公司 | 许可证 |
AeroGear Crypto | AeroGear | Apache 2.0 |
Conceal | 非死book | BSD |
Keyczar | —— | Apache 2.0 |
如 果你是一个移动应用开发者,你得花时间和精力使你的应用程序便于使用,功能丰富,抓人眼球,但是,你不要忘了改善你应用的安全性。 如果你不懂怎么着手, 或者担心做不对,那就从文中提到的工具包中选择一个,以便能够开始。不管你决定选用哪个加密工具都好,都应避免自己实现加密算法和加密协议; 应该只使用 那些广泛应用的,普遍认可的,经受考验的算法和协议。