在Android密钥库中存储HMAC密钥

Question

在Android密钥库中存储HMAC密钥

3

我正在使用以下代码创建HMAC密钥并将其返回为字符串。

KeyGenerator keyGen = null;
    try {
        keyGen = KeyGenerator.getInstance("HmacSHA256");
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    }
    SecretKey key = keyGen.generateKey();
    byte[] encoded = key.getEncoded();
    String s=Base64.encodeToString(encoded, Base64.DEFAULT);
    Log.i("Hmac key before encrypt",s);

    try {
        KeyStore keystore = KeyStore.getInstance("AndroidKeyStore");
        keystore.load(null, null);
        KeyStore.PrivateKeyEntry privateKeyEntry = (KeyStore.PrivateKeyEntry) keystore.getEntry("temp", null);
        RSAPublicKey publicKey = (RSAPublicKey) privateKeyEntry.getCertificate().getPublicKey();

        Cipher cipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");
        cipher.init(Cipher.ENCRYPT_MODE, publicKey);
        byte[] cipherBytes = cipher.doFinal(encoded);

        return Base64.encodeToString(cipherBytes,Base64.DEFAULT);


    } catch (UnrecoverableEntryException e) {
        e.printStackTrace();
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    } catch (KeyStoreException e) {
        e.printStackTrace();
    } catch (IllegalBlockSizeException e) {
        e.printStackTrace();
    } catch (InvalidKeyException e) {
        e.printStackTrace();
    } catch (BadPaddingException e) {
        e.printStackTrace();
    } catch (NoSuchPaddingException e) {
        e.printStackTrace();
    } catch (CertificateException e) {
        e.printStackTrace();
    } catch (IOException e) {
        e.printStackTrace();
    }

我该如何将此存储在Android密钥库中？我尝试使用以下代码：

KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
        keyStore.load(null);

        KeyStore.ProtectionParameter param = new KeyStore.PasswordProtection("test".toCharArray());
        keyStore.setEntry("key1",hmacKey,param);

无论以何种格式(hmacKey是字符串/字节还是javax.crypto.SecretKey)，我都会得到错误。下面是错误提示: 如果传递的密钥为 hmacKey：

Wrong 2nd argument type. Found: 'java.security.Key', required: 'java.security.KeyStore.Entry'

同样适用于当我传递字符串或字节数组的情况。

如果我将参数强制转换为java.security.KeyStore.Entry，它仍然无法正常工作。

这是正确的方法吗？有人可以指点如何使用别名将HMAC密钥存储在密钥库中。如何将hmack密钥转换为java.security.KeyStore.Entry格式？

- Sid

抱歉表述不清楚，已经编辑了问题。 - Sid

你不能只是存储上面生成的“key”吗？我在问题中看到了很多废话。这似乎不是MCSE。 - Maarten Bodewes

不，它不能被直接存储。我目前正在使用共享首选项来存储此密钥。不确定其安全性方面，这就是为什么我想将其存储在密钥库中的原因。代码的第一部分完全正常，我也可以创建一个HMAC密钥并返回它。问题出在我试图使用别名将其存储在Android密钥库中的那一部分。 - Sid

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Maarten Bodewes · Accepted Answer

Android密钥库的创建旨在使您能够在应用程序代码之外使用非对称密钥和对称密钥。如培训材料所指定：

密钥材料永远不会进入应用程序进程。当应用程序使用Android Keystore密钥执行加密操作时，明文、密文和要签名或验证的消息将在系统进程中传递，该进程执行加密操作。如果应用程序进程受到攻击者的攻击，攻击者可能能够使用该应用程序的密钥，但无法提取其密钥材料（例如，用于在Android设备之外使用）。

因此，在应用程序代码内部生成密钥 - 因此在密钥库之外 - 不是一个好主意。如何在密钥库内部生成秘密密钥已在KeyGenParameterSpec类的API中定义，适用于HMAC密钥。

KeyGenerator keyGenerator = KeyGenerator.getInstance(
         KeyProperties.KEY_ALGORITHM_HMAC_SHA256, "AndroidKeyStore");
keyGenerator.initialize(
         new KeyGenParameterSpec.Builder("key2", KeyProperties.PURPOSE_SIGN).build());
SecretKey key = keyGenerator.generateKey();
Mac mac = Mac.getInstance("HmacSHA256");
mac.init(key);
...

// The key can also be obtained from the Android Keystore any time as follows:
KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
keyStore.load(null);
key = (SecretKey) keyStore.getKey("key2", null);

其他关键类型可以在KeyProperties类中找到（链接）