无法在安卓密钥库中生成密钥

我们目前遇到一个问题,有时当用户安装我们的应用程序时,应用程序会尝试访问并在密钥库中生成密钥,但密钥库会引发以下异常:

Caused by: java.lang.IllegalStateException: could not generate key in keystore
        at android.security.AndroidKeyPairGenerator.generateKeyPair(AndroidKeyPairGenerator.java:100)
        at java.security.KeyPairGenerator$KeyPairGeneratorImpl.generateKeyPair(KeyPairGenerator.java:275)

我们认为这与手机解锁模式没有解锁密钥库和/或设备管理员锁定密钥库有关。

以下是密钥库的创建方式以及密钥的生成方式:

public SecretKeyWrapper(Context context, String alias) throws GeneralSecurityException, IOException {
    mCipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");
    final KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
    keyStore.load(null);

    if (!keyStore.containsAlias(alias)) {
        generateKeyPair(context, alias);
    }

    final KeyStore.PrivateKeyEntry entry = (KeyStore.PrivateKeyEntry) keyStore.getEntry(alias, null);
    mPair = new KeyPair(entry.getCertificate().getPublicKey(), entry.getPrivateKey());
}

private static void generateKeyPair(Context context, String alias) throws GeneralSecurityException {
    final Calendar start = new GregorianCalendar();
    final Calendar end = new GregorianCalendar();
    end.add(Calendar.YEAR, 100);

    final KeyPairGeneratorSpec spec = new KeyPairGeneratorSpec.Builder(context)
            .setAlias(alias)
            .setSubject(new X500Principal("CN=" + alias))
            .setSerialNumber(BigInteger.ONE)
            .setStartDate(start.getTime())
            .setEndDate(end.getTime())
            .build();

    final KeyPairGenerator gen = KeyPairGenerator.getInstance("RSA", "AndroidKeyStore");
    gen.initialize(spec);
    gen.generateKeyPair();
}

有谁知道如何:

  • 以设备管理员身份锁定密钥库?
  • 在密钥库被设备管理员锁定时解锁密钥库?
  • 还是以其他方式重现此问题?

答案 1

Caused by: java.lang.IllegalStateException: could not generate key in keystore

希望第一个异常将通过以下代码解决:

KeyStore ks = KeyStore.getInstance("AndroidKeyStore");
ks.load(null);
KeyStore.Entry entry = ks.getEntry(alias, null);

ks.getEntry(alias, new KeyStore.PasswordProtection(password))

在密钥库被设备管理员锁定后将其解锁:

KeyStore不仅在 ICS 之前的设备上可能显示为已锁定。锁定的最简单方法是:KeyStore

  1. 通过设置 KeyGuard(屏幕锁定上的图案、引脚或密码)来初始化密钥库
  2. 添加密钥或存储在密钥库中的任何内容
  3. 转到“设置”>“安全性”,然后将“屏幕锁定”更改为“不安全”的内容,例如“幻灯片”。
  4. 重新启动设备。

引导设备后,密钥库将被锁定。 intent将启动活动,反过来,活动将显示UnlockDialog,提示输入密码。com.android.credentials.UNLOCKcom.android.settings.CredentialStorage

 * KeyStore: LOCKED
 * KeyGuard: OFF/ON
 * Action:   old unlock dialog
 * Notes:    assume old password, need to use it to unlock.
 *           if unlock, ensure key guard before install.
 *           if reset, treat as UNINITALIZED/OFF

您可以只生成一个主密钥并将其存储为私人文件,其他应用程序将无法读取它,因此您在无根设备上就可以了。这是 Android 开发人员博客上推荐的方法:: http://android-developers.blogspot.jp/2013/02/using-cryptography-to-store-credentials.html

同样的问题答案:Android android.credentials.UNLOCK 在没有密码的情况下初始化密钥库


答案 2