首页

Android Keystore getEntry() 和 generateKeyPair() 有时会抛出异常

security android java
2022-09-02 14:03:53

我的 Android 应用需要加密文件,以便以后可以解密和读取该文件。除了应用程序之外,其他任何人都无法解密,甚至用户也不应该解密。

以下是我如何进行加密和解密。这在大多数情况下都有效,但有时对于某些用户来说,这是失败的。它不是特定于特定手机(Nexus7,三星,摩托罗拉,HTC - 所有类型都报告了此问题),但并非所有用户都遇到过这个问题。只有一些用户偶尔。

以下是相关代码:

encrypt() {
   KeyStore ks = KeyStore.getInstance("AndroidKeyStore");
   final KeyStore.PrivateKeyEntry entry;
   if (!ks.containsAlias(CERT_ALIAS)) {
       Calendar cal = Calendar.getInstance();
       Date now = cal.getTime();
       cal.add(Calendar.YEAR, 50);
       Date end = cal.getTime();
       KeyPairGenerator kpg = KeyPairGenerator.getInstance("RSA", "AndroidKeyStore");
       kpg.initialize(new KeyPairGeneratorSpec.Builder(getApplicationContext())
              .setAlias(CERT_ALIAS)
              .setStartDate(now)
              .setEndDate(end)
              .setSerialNumber(BigInteger.valueOf(1))
              .setSubject(new X500Principal("CN=" + CERT_ALIAS))
              .build());
       KeyPair kp = kpg.generateKeyPair();
   }
   entry = (KeyStore.PrivateKeyEntry) ks.getEntry(
                     CERT_ALIAS, null);
   pub = entry.getCertificate().getPublicKey();
   // use the pub key to encrypt
}
decrypt() {
    KeyStore ks = KeyStore.getInstance("AndroidKeyStore");
    ks.load(null);

    final KeyStore.PrivateKeyEntry entry = (KeyStore.PrivateKeyEntry) ks.getEntry(
            CERT_ALIAS, null);
    PrivateKey key1 = entry.getPrivateKey();
    // use the private key decrypt
}

此代码有时会抛出

java.lang.RuntimeException: error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long
at com.android.org.conscrypt.NativeCrypto.ENGINE_load_private_key(Native Method)
at com.android.org.conscrypt.OpenSSLEngine.getPrivateKeyById(OpenSSLEngine.java:66)
at android.security.AndroidKeyStore.engineGetKey(AndroidKeyStore.java:86)
at java.security.KeyStoreSpi.engineGetEntry(KeyStoreSpi.java:372)
at java.security.KeyStore.getEntry(KeyStore.java:644)

因此,我修改了crypti()以首先尝试获取该条目,如果它引发异常,则生成新的密钥对。

final KeyStore.PrivateKeyEntry entry = null;
if (ks.containsAlias(CERT_ALIAS)) {
    try {
        entry = (KeyStore.PrivateKeyEntry) ks.getEntry(
                      CERT_ALIAS, null);
    } catch (Exception e) {
    }
}
if (entry == null) {
    //generate new key pair
}

但即使这样,有时也会失败,但以下例外。

java.lang.IllegalStateException: could not generate key in keystore
at android.security.AndroidKeyPairGenerator.generateKeyPair(AndroidKeyPairGenerator.java:100)
at java.security.KeyPairGenerator$KeyPairGeneratorImpl.generateKeyPair(KeyPairGenerator.java:275)
  1. 我做错了什么?
  2. 如何修复/解决?
  3. 这些异常是否表示文件被篡改?
  4. 对于具有屏幕锁定密码/PIN 的用户,是否会发生这种情况?
  5. 在生成新对之前,我应该删除该条目吗?(KeyStore.deleteEntry())

我观察到密钥库在屏幕锁定密码/引脚更改后返回空值。其他一些似乎也遇到过此问题(KeyStore getEntry在更改密码后返回null)


答案 1

我遇到了一个应用程序的问题,在深入研究其中一部受影响的手机后,我发现某些设备已经将其设置为手机的解锁模式/通过/pin与实际解锁密钥存储的密码不同。如果你想仔细检查这是否也是你的问题,你可以在这里使用:http://nelenkov.blogspot.com/2012/05/storing-application-secrets-in-androids.html 获取公钥PairGenerator对象正在调用的实际私有系统api,并检查其上的返回代码。我不确定为什么Google决定将返回代码隐藏在布尔值后面,但是你有它。could not generate key in keystore

您可以通过调用来手动触发密钥库的解锁,但这可能没有多大帮助。据我所知,如果手机处于此状态,这是因为某些设备管理员应用程序在后台锁定了密钥库,因此可以设置VPN或电子邮件凭据。这意味着用户实际上并不知道密码。我仍在研究解决方法(可能了解设备管理员应用程序如何访问密钥库,以便我可以以这种方式解锁它),但至少可以说这是一个棘手的问题。如果我在探索中发现更多,我会尝试更新这一点,希望这至少能为一些人指明正确的方向。startActivity(new Intent("com.android.credentials.UNLOCK"));


答案 2

推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »