移动应用中的客户端SSL证书有多安全？

你是否正在使用SSL进行客户端证书身份验证？尽管对于这个问题并不重要。但是，你在应用中存储的所有私钥都可以被攻击者访问。每个客户端都应该有自己的证书和密钥对，以防止大规模泄漏。你的服务器还应强制执行保护措施，确保受损客户端不能随意请求任何内容。
对于任何身份验证方案来说都是如此。如果你嵌入了密码、API密钥、解密密钥等信息。设备上的任何内容都应该被认为是可访问的。
证书提供的额外安全性部分源于没有什么可以被暴力破解。如果你为每个客户端选择用户名/密码路线，密码可能会被猜测。API密钥也是一样（虽然它们更长且更难）。采用证书，就是完全不同类别的攻击，而且是一个相当棘手的问题。
但最重要的是，后端服务不应允许应用程序执行其本来不会执行的任何操作。
现在，处理证书，你将面临许多其他问题。你可能希望用你的自签名CA证书为每个客户端证书签名。根据你的使用情况，管理该CA证书可能存在问题。你将生成这些客户端证书吗？还是由你通过手动方式生成？也就是说，这是可以供百万人下载的应用，需要一个自动生成它们的自动化系统吗？还是这是你个人将处理生成证书的私有/内部应用程序？

通常，客户端SSL证书存储在密钥库中（在Android的情况下为BKS格式），并将密钥库作为资源包含在您的APK中。密钥库是加密和受密码保护的。因此，客户端证书无法从APK中轻松提取，因为它以加密形式存储。
现在...密码怎么办？这是问题的关键，你有两个选择。
如果您希望应用程序能够在没有用户交互的情况下与服务器通信（因此能够访问证书），则需要将密码嵌入应用程序中，然后，是的，攻击者可以反向工程化您的代码来查找它，抓取密钥库，然后解密它以恢复证书。您可以应用技术，如混淆代码，使攻击者更难以这样做，但这只会减慢某些人的速度，而不会防止它。
您的另一个选择是每次应用程序与服务器通信时提示用户输入密码，并使用该密码解密密钥库（或在应用程序启动时询问并缓存证书一段时间）。这里的优点是，如果有人反向工程化您的APK，则会找到经过加密的密钥库，而没有密码，因此您的证书是安全的。缺点是要求用户提供密码。

哪种方法最好？这完全取决于您所关心的数据的敏感性和您愿意接受的风险水平。只有您才能回答这个问题。

Daniel Guillamot，一些我所掌握的技巧：

• 拆分服务器端密钥。将SSL密钥的密码短语设置为应用程序字符串XOR从网络服务中获取的字符串的结果。
• 通过调用一些应用程序函数来创建应用程序字符串，而不是硬编码字符串。
• 禁止在应用程序运行时跟踪应用程序，以避免某人在调用私钥解密时捕获最终密码短语。参考：http://books.google.no/books?id=2D50GNA1ULsC&lpg=PA294&ots=YPQQ7DLjBD&dq=The%20example%20just%20shown%20demonstrates%20how%20calls%20to%20ptrace%20can%20be%20hijacked&hl=no&pg=PA293#v=onepage&q&f=false

如果有其他想法，我很乐意听取。

APK 可以被访问和复制，所以将任何东西放入其中都没有作用。在安装后进行激活，可能需要将证书绑定到设备上。例如，可以通过将设备的 IMEI 放入证书扩展之一，并通过应用程序传递 IMEI 和证书来进行绑定（或者更好地，在身份验证和建立安全通道后传递 IMEI）。