即时通讯安全篇（一）：正确地理解和使用Android端加密算法

前言

即时通讯是互联网的重要应用形态之一&＃xff0c;安全性一直是开发者需要优先考虑的基础问题&＃xff0c;并不是使用了加密就绝对安全了&＃xff0c;如果加密函数使用不正确&＃xff0c;加密数据很容易受到逆向破解攻击。如何正确地理解和使用加密技术则显的尤其重要。

本文主要讨论针对Android这样的移动端应用开发时&＃xff0c;如何正确的理解目前常用的加密算法&＃xff0c;为诸如即时通讯应用的实战开发&＃xff0c;如何在合适的场景下选择适合的算法&＃xff0c;提供一些参考。

密码学基本概念

密码学的三大作用&＃xff1a;加密&＃xff08; Encryption&＃xff09;、认证&＃xff08;Authentication&＃xff09;&＃xff0c;鉴定&＃xff08;Identification&＃xff09; 。

加密&＃xff1a;防止坏人获取你的数据。
认证&＃xff1a;防止坏人修改了你的数据而你却并没有发现。
鉴权&＃xff1a;防止坏人假冒你的身份。

明文、密文、密钥、对称加密算法、非对称加密算法&＃xff0c;这些基本概念和加密算法原理就不展开叙述了。

Android SDK提供的API

Android SDK使用的API和JAVA提供的基本相似&＃xff0c;由以下部分组成&＃xff1a;

Java Cryptography Architecture&＃xff1a;JCA&＃xff0c;java加密体系结构&＃xff1b;

Java Cryptography Extension&＃xff1a;JCE&＃xff0c;Java加密扩展包)&＃xff1b;

Java Secure Sockets Extension&＃xff1a;JSSE&＃xff0c;Java安全套接字扩展包&＃xff1b;

Java Authentication and Authentication Service&＃xff1a;JAAS&＃xff0c;Java 鉴别与安全服务。

JCA提供基本的加密框架&＃xff0c;如证书、数字签名、消息摘要和密钥对产生器&＃xff0c;对应的Android API中的以下几个包&＃xff1a;

JCE扩展了JCA&＃xff0c;提供了各种加密算法、摘要算法、密钥管理等功能&＃xff0c;对应的Android API中的以下几个包&＃xff1a;

JSSE提供了SSL&＃xff08;基于安全套接层&＃xff09;的加密功能&＃xff0c;使用HTTPS加密传输使用&＃xff0c;对应的Android API主要是java.net.ssl包中。

JAAS 提供了在Java平台上进行用户身份鉴别的功能。对应的Android API主要在以下几个包&＃xff1a;

它们其实只是一组接口&＃xff0c;实际的算法是可由不同的Provider提供&＃xff0c;Android API默认的Provider主要是是Bouncy Castle和OpenSSL。 此外Android API还提供了android.security和android.security.keystore&＃xff08;API 23新增&＃xff09;来管理keychain和keystore。

常用算法之&＃xff1a;Base64编码

Base64编码算法是一种用64个字符&＃xff08;ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789&＃43;/&＃xff09;来表示任意二进制数据的方法。在计算机网络发展的早期&＃xff0c;由于“历史原因”&＃xff0c;电子邮件不支持非ASCII码字符&＃xff0c;如果要传送的电子邮件带有非ASCII码字符&＃xff08;诸如中文&＃xff09;或者图片&＃xff0c;用户收到的电子邮件将会是一堆乱码&＃xff0c;因此发明了Base64编码算法。至于为何会乱码&＃xff1f;请大家自行Google。在加解密算法中&＃xff0c;原始的数据和加密后的数据一般也是二进制数据&＃xff0c;为了不传输出错&＃xff0c;方便保存或者调试代码&＃xff0c;一般需要对加密后的数据进行base64编码。

Android提供了Base64编码的工具类android.util.Base64&＃xff0c;可以直接使用&＃xff0c;不用自己去实现base64编码的算法了。如&＃xff1a;

【开发者建议】&＃xff1a;
base64只是一种编码方式&＃xff0c;并不是一种加密算法&＃xff0c;不要使用base64来加密数据。

常用算法之&＃xff1a;随机数生成器

在Android加密算法中需要随机数时要使用SecureRandom来获取随机数。 如&＃xff1a;

注意不要给SecureRandom设置种子。调用seeded constructor或者setSeed(byte[])是不安全的。SecureRandom()默认使用的是dev/urandom作为种子产生器&＃xff0c;这个种子是不可预测的。

【开发者建议】&＃xff1a;

不要使用Random类来获取随机数。

在使用SecureRandom时候&＃xff0c;不要设置种子。使用以下函数设置种子都是有风险的&＃xff1a;

常用算法之&＃xff1a;Hash算法

Hash算法是指任意长度的字符串输入&＃xff0c;此算法能给出固定n比特的字符串输出&＃xff0c;输出的字符串一般称为Hash值。

具有以下两个特点&＃xff1a;

抗碰撞性&＃xff1a;寻找两个不同输入得到相同的输出值在计算上是不可行的&＃xff0c;需要大约 的时间去寻找到具有相同输出的两个输入字符串。

不可逆&＃xff1a;不可从结果推导出它的初始状态。

抗碰撞性使Hash算法对原始输入的任意一点更改&＃xff0c;都会导致产生不同的Hash值&＃xff0c;因此Hash算法可以用来检验数据的完整性。我们经常见到在一些网站下载某个文件时&＃xff0c;网站还提供了此文件的hash值&＃xff0c;以供我们下载文件后检验文件是否被篡改。 不可逆的特性使Hash算法成为一种单向密码体制&＃xff0c;只能加密不能解密&＃xff0c;可以用来加密用户的登录密码等凭证。

【开发者建议】&＃xff1a;

1、建议使用SHA-256、SHA-3算法:
如使用SHA-256算法对message字符串做哈希&＃xff1a;

2、不建议使用MD2、MD4、MD5、SHA-1、RIPEMD算法来加密用户密码等敏感信息&＃xff1a;
这一类算法已经有很多破解办法&＃xff0c;例如md5算法&＃xff0c;网上有很多查询的字典库&＃xff0c;给出md5值&＃xff0c;可以查到加密前的数据。

3、不要使用哈希函数做为对称加密算法的签名。

4、注意&＃xff1a;当多个字符串串接后再做hash&＃xff0c;要非常当心&＃xff1a;
如&＃xff1a;字符串S&＃xff0c;字符串T&＃xff0c;串接做hash&＃xff0c;记为 H (S||T)。但是有可能发生以下情况。如“builtin||securely” 和 “built||insecurely”的hash值是完全一样的。 如何修改从而避免上述问题产生&＃xff1f; 改为H(length(S) || S || T)或者 H(H(S)||H(T))或者H(H(S)||T)。

实际开发过程中经常会对url的各个参数&＃xff0c;做词典排序&＃xff0c;然后取参数名和值串接后加上某个SECRET字符串&＃xff0c;计算出hash值&＃xff0c;作为此URL的签名&＃xff0c; 如foo&＃61;1, bar&＃61;2, baz&＃61;3 排序后为bar&＃61;2, baz&＃61;3, foo&＃61;1&＃xff0c;做hash的字符串为&＃xff1a;SECRETbar2baz3foo1&＃xff0c;在参数和值之间没有分隔符&＃xff0c;则”foo&＃61;bar”和”foob&＃61;ar”的hash值是一样的&＃xff0c;”foo&＃61;bar&fooble&＃61;baz”和”foo&＃61;barfooblebaz”一样&＃xff0c;这样通过精心构造的恶意参数就有可能与正常参数的hash值一样&＃xff0c;从而骗过服务器的签名校验。

消息认证算法

要确保加密的消息不是别人伪造的&＃xff0c;需要提供一个消息认证码&＃xff08;MAC&＃xff0c;Message authentication code&＃xff09;。 消息认证码是带密钥的hash函数&＃xff0c;基于密钥和hash函数。密钥双方事先约定&＃xff0c;不能让第三方知道。

消息发送者使用MAC算法计算出消息的MAC值&＃xff0c;追加到消息后面一起发送给接收者。接收者收到消息后&＃xff0c;用相同的MAC算法计算接收到消息MAC值&＃xff0c;并与接收到的MAC值对比是否一样。

【开发者建议】&＃xff1a;
建议使用HMAC-SHA256算法&＃xff0c;避免使用CBC-MAC。 HMAC-SHA256例子如下&＃xff1a;

在对称加密算法中&＃xff0c;数据发信方将明文&＃xff08;原始数据&＃xff09;和加密密钥一起经过特殊加密算法处理后&＃xff0c;使其变成复杂的加密密文发送出去。收信方收到密文后&＃xff0c;若想解读原文&＃xff0c;则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密&＃xff0c;才能使其恢复成可读明文。在对称加密算法中&＃xff0c;使用的密钥只有一个&＃xff0c;发收信双方都使用这个密钥对数据进行加密和解密&＃xff0c;这就要求解密方事先必须知道加密密钥。
该算法的缺点是&＃xff0c;如果一旦密钥泄漏&＃xff0c;那么加密的内容将都不可信了。

【开发者建议】&＃xff1a;

1、建议使用AES算法。
2、DES默认的是56位的加密密钥&＃xff0c;已经不安全&＃xff0c;不建议使用。
3、注意加密模式不要使用ECB模式。ECB模式不安全&＃xff0c;说明问题的经典的三张图片&＃xff0c;如下&＃xff1a;
明文是&＃xff1a;

用ECB加密模式后&＃xff1a;

用CBC加密模式后&＃xff1a;

想更深入的了解关于对CBC加密模式的攻击&＃xff0c;可参看&＃xff1a;《SSL/TLS协议安全系列&＃xff1a;CBC 模式的弱安全性介绍(一)》。

4、Android 提供的AES加密算法API默认使用的是ECB模式&＃xff0c;所以要显式指定加密算法为&＃xff1a;CBC或CFB模式&＃xff0c;可带上PKCS5Padding填充。AES密钥长度最少是128位&＃xff0c;推荐使用256位。

非对称加密

非对称加密算法需要两个密钥&＃xff1a;公开密钥&＃xff08;publickey&＃xff09;和私有密钥&＃xff08;privatekey&＃xff09;。公开密钥与私有密钥是一对&＃xff0c;如果用公开密钥对数据进行加密&＃xff0c;只有用对应的私有密钥才能解密&＃xff1b;如果用私有密钥对数据进行加密&＃xff0c;那么只有用对应的公开密钥才能解密&＃xff08;这个过程可以做数字签名&＃xff09;。
非对称加密主要使用的是RSA算法。

开发者建议&＃xff1a;

1、注意密钥长度不要低于512位&＃xff0c;建议使用2048位的密钥长度。 使用RSA进行数字签名的算法&＃xff0c;如&＃xff1a;

2、使用RSA算法做加密&＃xff0c;RSA加密算法应使用Cipher.getInstance(RSA/ECB/OAEPWithSHA256AndMGF1Padding)&＃xff0c;否则会存在重放攻击的风险。 如&＃xff1a;

加密算法PBE

PBE是一种基于口令的加密算法&＃xff0c;其特点是使用口令代替了密钥&＃xff0c;而口令由用户自己掌管&＃xff0c;采用随机数杂凑多重加密等方法保证数据的安全性。

开发者建议&＃xff1a;
使用基于口令的加密算法PBE时&＃xff0c;生成密钥时要加盐&＃xff0c;盐的取值最好来自SecureRandom&＃xff0c;并指定迭代次数。 如&＃xff1a;

小结

几条原则&＃xff1a;

• 1、不要自己设计加密算法和协议&＃xff0c;使用业界标准的算法。
• 2、对称加密算法不要使用ECB模式&＃xff0c;不建议使用DES算法。
• 3、要选择合适长度的密钥。
• 4、要确保随机数生成器的种子具有足够的信息熵。
• 5、不要使用没有消息认证的加密算法加密消息&＃xff0c;无法防重放。
• 6、当多个字符串拼接后做hash&＃xff0c;要非常当心。
• 7、当给算法加yan盐取值时不要太短&＃xff0c;不要重复。
• 8、使用初始化向量时IV时&＃xff0c;IV为常量的CBC&＃xff0c;CFB&＃xff0c;GCM等和ECB一样可以重放&＃xff0c;即采用上一个消息的最后一块密文作为下一个消息的IV&＃xff0c;是不安全的。
• 9、密钥应遵循的原则 &＃xff1a;
  &＃xff08;1&＃xff09;密钥不能为常量&＃xff0c;应随机&＃xff0c;定期更换&＃xff0c;如果加密数据时使用的密钥为常量&＃xff0c;则相同明文加密会得到相同的密文&＃xff0c;很难防止字典攻击。
  &＃xff08;2&＃xff09;开发同学要防范密钥硬编码的毛病。

而在实际开发中&＃xff0c;密钥如何保存始终是绕不过的坎&＃xff1f;如果硬编码在代码中容易被逆向&＃xff0c;如果放在设备的某个文件&＃xff0c;也会被有经验的破解者逆向找到&＃xff0c;在这里推荐阿里聚安全的安全组件服务&＃xff0c;其中的安全加密功能提供了开发者密钥的安全管理与加密算法实现&＃xff0c;保证密钥的安全性&＃xff0c;实现安全的加解密操作。