安卓密钥库错误 "无法在密钥库中生成密钥"

Question

安卓密钥库错误 "无法在密钥库中生成密钥"

javaandroidruntime-errorandroid-keystore

41

我尝试为某些设备生成密钥时遇到了错误。我能在运行4.4.2的三星Galaxy Note上重现该错误。

java.lang.IllegalStateException: could not generate key in keystore
        at android.security.AndroidKeyPairGenerator.generateKeyPair(AndroidKeyPairGenerator.java:100)
        at java.security.KeyPairGenerator$KeyPairGeneratorImpl.generateKeyPair(KeyPairGenerator.java:275)
        at com.eric.demo.MainActivity.generateKeyPair(MainActivity.java:65)
        at com.eric.demo.MainActivity.onClickButton(MainActivity.java:43)
        at java.lang.reflect.Method.invokeNative(Native Method)
        at java.lang.reflect.Method.invoke(Method.java:515)
        at android.view.View$1.onClick(View.java:3964)
        at android.view.View.performClick(View.java:4640)
        at android.view.View$PerformClick.run(View.java:19421)
        at android.os.Handler.handleCallback(Handler.java:733)
        at android.os.Handler.dispatchMessage(Handler.java:95)
        at android.os.Looper.loop(Looper.java:136)
        at android.app.ActivityThread.main(ActivityThread.java:5476)
        at java.lang.reflect.Method.invokeNative(Native Method)
        at java.lang.reflect.Method.invoke(Method.java:515)
        at com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:1268)
        at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:1084)
        at de.robv.android.xposed.XposedBridge.main(XposedBridge.java:132)
        at dalvik.system.NativeStart.main(Native Method)

我创建了一个小应用程序，只需逐行从Android开发者页面复制代码即可生成密钥。具体请参见“生成新的私有密钥” https://developer.android.com/training/articles/keystore.html

 public void onClickButton (View view) {
    try {
        generateKeyPair(this, "test3");
    } catch (Exception e){
        Log.wtf("exception", e);
    }
}

private void generateKeyPair(Context context, String alias)
    throws Exception {
    Calendar cal = Calendar.getInstance();
    Date now = cal.getTime();
    cal.add(Calendar.YEAR, 1);
    Date end = cal.getTime();

    KeyPairGenerator kpg = KeyPairGenerator.getInstance("RSA", "AndroidKeyStore");
    kpg.initialize(new KeyPairGeneratorSpec.Builder(getApplicationContext())
            .setAlias(alias)
            .setStartDate(now)
            .setEndDate(end)
            .setSerialNumber(BigInteger.valueOf(1))
            .setSubject(new X500Principal("CN=test3"))
            .build());

    KeyPair kp = kpg.generateKeyPair();
}

错误似乎发生在AndroidKeyPairGenerator.java中的kpg.generateKeyPair()函数内：

if (!mKeyStore.generate(privateKeyAlias, KeyStore.UID_SELF, keyType,
        mSpec.getKeySize(), mSpec.getFlags(), args)) {
    throw new IllegalStateException("could not generate key in keystore");
}

同时在KeyStore.java文件中：

public boolean generate(String key, int uid, int keyType, int keySize, int flags,
        byte[][] args) {
    try {
        return mBinder.generate(key, uid, keyType, keySize, flags, args) == NO_ERROR;
    } catch (RemoteException e) {
        Log.w(TAG, "Cannot connect to keystore", e);
        return false;
    }
}

mBinder.generate()的调用似乎返回2，这意味着密钥库已被锁定？

// ResponseCodes
public static final int NO_ERROR = 1;
public static final int LOCKED = 2;
public static final int UNINITIALIZED = 3;
public static final int SYSTEM_ERROR = 4;
public static final int PROTOCOL_ERROR = 5;
public static final int PERMISSION_DENIED = 6;
public static final int KEY_NOT_FOUND = 7;
public static final int VALUE_CORRUPTED = 8;
public static final int UNDEFINED_ACTION = 9;
public static final int WRONG_PASSWORD = 10;

错误可能与密钥库的问题有关，与此问题有些相关：https://code.google.com/p/android/issues/detail?id=177459&q=could%20not%20generate%20key%20in%20keystore&colspec=ID%20Type%20Status%20Owner%20Summary%20Stars

我尝试了以下几种方法和它们的组合：
1. 设置加密需求。结果是另一个错误：“如果需要加密，则 Android 密钥库必须处于已初始化并解锁状态”
2. 设置锁屏（图案、PIN、无锁屏、密码、滑动）。同样的行为
3. 以编程方式尝试使用 startActivity(new Intent("com.android.credentials.UNLOCK")); 或 startActivity(new Intent("com.android.credentials.RESET")); 解锁或重置凭据存储。尝试解锁会显示“为凭据存储输入密码”的消息，其中没有合理的密码可用，即使清除凭据也没有帮助。

- Eric

我在其他地方看到过这种解决方法，但似乎你还没有尝试过这个确切的组合：如果锁屏已被禁用：卸载应用程序，设置锁屏，取消设置锁屏，然后重新安装。如果锁屏已启用，则卸载，取消设置锁屏，设置锁屏，然后重新安装。我没有设备来复制，但我正在寻找一个用户的解决方法。 - Rich Ehmer

当你被要求“输入凭据存储的密码”时，正确的密码可能是你设置图案时选择的备用PIN码。至少在我的情况下是这样的。 - JerabekJakub

4个回答

2

虽然我不知道完整的答案，但我可以帮助你继续搜索。mBinder 的另一侧实现绑定器的是本地密钥库。如果我记得清楚，它的行为要么是在软件级别支持密钥操作，要么是委托给 OEM 提供的 keymaster 库（可能）与 OEM 的硬件支持密钥库进行接口交互。更多信息请参见这里、这里和这里。

注意：我将放弃 SO 的常规政策，即将外部链接内容提取到答案中，因为我向你链接了三篇都超过一页的文章，将其发布为 6 页的答案似乎有点荒谬。

- Hamy

0

如果您的代码没有问题，那么请记得为您的设备设置PIN/PW/指纹（安全解锁），以便密钥库开始运作。如果您尝试生成密钥对，只进行简单的滑动操作将会出现这样的错误提示。

- user7487817

-6

我认为这是正确的方向：右键单击项目 > Android 工具 > 导出已签名的应用程序包导出 Android 应用程序向导将出现。选择要导出的项目，然后单击下一步。密钥库选择屏幕将出现。

- Sahil Jain

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Bayar Şahintekin · Accepted Answer

public class EncryptionApi18AndAbove{
    private Context context;
    private KeyStore keyStore;
    private static String alias = "alias";

    public EncryptionApi18AndAbove(Context context) {
        this.context = context;
        try {
            keyStore = KeyStore.getInstance("AndroidKeyStore");
            keyStore.load(null);
        } catch (Exception e) {
           // bla bla
        }
    }

    private String createNewKeys(String alias, Context context) {
        try {
            if (!keyStore.containsAlias(alias)) {
                Calendar start = Calendar.getInstance();
                Calendar end = Calendar.getInstance();
                end.add(Calendar.YEAR, 1);
                KeyPairGeneratorSpec spec = new KeyPairGeneratorSpec.Builder(context)
                        .setAlias(alias)
                        .setSubject(new X500Principal("CN=Sample Name, O=Android Authority"))
                        .setSerialNumber(BigInteger.ONE)
                        .setStartDate(start.getTime())
                        .setEndDate(end.getTime())
                        .build();
                KeyPairGenerator generator = KeyPairGenerator.getInstance("RSA", "AndroidKeyStore");
                generator.initialize(spec);
                generator.initialize(spec);
                generator.generateKeyPair();
            }
        } catch (Exception e) {
            //bla bla
        }
        return alias;
    }

    @Override
    public String encrypt(String text) {
        if (text == null || text.length() == 0) {
            return text;
        }
        try {
            KeyStore.PrivateKeyEntry privateKeyEntry = (KeyStore.PrivateKeyEntry) keyStore.getEntry(createNewKeys(alias, context), null);
            PublicKey publicKey = privateKeyEntry.getCertificate().getPublicKey();
            Cipher inCipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");
            inCipher.init(Cipher.ENCRYPT_MODE, publicKey);

            ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
            CipherOutputStream cipherOutputStream = new CipherOutputStream(
                    outputStream, inCipher);
            cipherOutputStream.write(text.getBytes("UTF-8"));
            cipherOutputStream.close();

            return Base64.encodeToString(outputStream.toByteArray(), Base64.DEFAULT);
        } catch (Exception e) {
            //bla bla
        }
        return text;
    }

    @Override
    public String decrypt(String text) {
        if (text == null || text.length() == 0) {
            return text;
        }
        try {
            KeyStore.PrivateKeyEntry privateKeyEntry = (KeyStore.PrivateKeyEntry) keyStore.getEntry(createNewKeys(alias, context), null);
            PrivateKey privateKey = privateKeyEntry.getPrivateKey();

            Cipher output = Cipher.getInstance("RSA/ECB/PKCS1Padding");
            output.init(Cipher.DECRYPT_MODE, privateKey);

            CipherInputStream cipherInputStream = new CipherInputStream(
                    new ByteArrayInputStream(Base64.decode(text, Base64.DEFAULT)), output);
            ArrayList<Byte> values = new ArrayList<>();
            int nextByte;
            while ((nextByte = cipherInputStream.read()) != -1) {
                values.add((byte) nextByte);
            }
            byte[] bytes = new byte[values.size()];
            for (int i = 0; i < bytes.length; i++) {
                bytes[i] = values.get(i).byteValue();
            }
            return new String(bytes, 0, bytes.length, "UTF-8");

        } catch (Exception e) {
            // bla bla
        }
        return text;
    }
}

您可以使用这个类。这适用于最低SDK 18及以上版本。您可以创建Android Keystore密钥，解密和加密简单的文本。