Сегодня надежность приложения зависит от того, как относятся к личным данным пользователя. В стеке Android есть много мощных API-интерфейсов, связанных с учетными данными и хранилищем ключей, причем определенные функции доступны только в определенных версиях. Эта короткая серия начнётся с простого подхода к тому, как работает система хранения, и как шифровать и хранить конфиденциальные данные через предоставленный пользователем код доступа. На втором уроке мы рассмотрим более сложные способы ключей защиты и учетных данных.

Основы

Первый вопрос, о котором стоит подумать — это то, о скольких данных вам придётся позаботиться. Хорошим вариантом будет — не хранить личные данные, если это действительно не нужно.

С данными, которые вам необходимо сохранить, архитектура Android готова помочь. Начиная с 6.0 Marshmellow, шифрование всего диска включено по умолчанию, для устройств с этой возможностью. Для файлов и SharedPreferences, которые сохранены приложением, автоматически устанавливается постоянная MODE_PRIVATE. Это означает, что доступ к данным может получить только ваше приложение.

Неплохо бы придерживаться того, что есть по-умолчанию. Вы можете явно указать это, при сохранении общих настроек.

SharedPreferences.Editor editor = getSharedPreferences("preferenceName", MODE_PRIVATE).edit();
editor.putString("key", "value");
editor.commit();

Или при сохранении файла.

FileOutputStream fos = openFileOutput(filenameString, Context.MODE_PRIVATE);
fos.write(data);
fos.close();

Избегайте хранения данных на внешних хранилищах, так как в этом случае данные смогут просматривать другие приложения и пользователи. По факту, чтобы усложнить копирование исполнительных (двоичных) файлов и данных вашего приложения, вы можете не позволять пользователям устанавливать приложение на внешнее хранилище. Чтобы следать это, добавьте android:installLocation со значением internalOnly в manifest файл.

Также, вы можете предотвратить создание резервных копий вашего приложения и его данных. Это также предотвратит скачивание содержимого каталога приложения с приватными данными, через adb backup. Чтобы сделать это, установите атрибут android:allowBackup в состояние false в файле manifest. По молчанию этот атрибут установлен на true.

Это лучшие методы, но они не будут работать для взломанного или рутованного устройства, а шифрование диска полезно только тогда, когда устройство защищено экраном блокировки. Вот где полезно использовать пароль на приложение, который защищает его данные с помощью шифрования.

Защита данных пользователя паролем

Conceal — отличный выбор в качестве библиотеки шифрования, потому что это позволит вам быстро начать и работать, не беспокоясь о попутных деталях. Тем не менее, эксплойт, нацеленный на популярный фреймворк, одновременно повлияет на все приложения, работающие на нём.

Также важно быть осведомлённым о том, как работают системы шифрования, чтобы иметь возможность сказать, надёжно ли вы используете конкретную инфраструктуру (фреймворк). Итак, в этом уроке мы запачкаем руки, конкретно рассмотрев поставщика криптографии.

AES и ключ на основе пароля

Мы будем использовать рекомендованный стандарт AES, который шифрует данные с помощью ключа. Один и тот же ключ, используемый и для шифрования данных, и для их дешифрования, это то, что называется симметричным шифрованием. Существуют разные размеры ключей и AES256 (256 бит) является предпочтительной длиной для использования с конфиденциальными данными.

Хотя пользовательский интерфейс вашего приложения должен заставить пользователя использовать надёжный пароль, есть вероятность, что один и тот же пароль будет выбран другим пользователем. Оставлять безопасность наших зашифрованных данных на совесть пользователя — небезопасно. Вместо этого наши данные должны быть защищены ключом, который будет случайным и достаточно большим (т.е. иметь достаточную энтропию (непредсказуемость)), чтобы считаться сильным. Вот почему никогда не рекомендуется использовать пароль напрямую для шифрования данных, вот где вступает в игру функция, называемая Password-Based Key Derivation Function (PBKDF2).

PDKDF2 извлекает ключ из пароля, хешируя (путая, мешая) его много раз с «солью». Это называется растягивание ключа. «Соль» — это просто случайная последовательность данных и делает извлечённый ключ уникальным, даже если тот же пароль был использован кем-то другим. Давайте начнём с создания этой «соли».

SecureRandom random = new SecureRandom();
byte salt[] = new byte[256];
random.nextBytes(salt);

Класс SecureRandom гарантирует, что сгенерированный вывод будет трудно предсказать — это «криптографически сильный генератор случайных чисел». Теперь мы можем поместить «соль» и пароль в защищённый паролем объект шифрования: PBEKeySpec. Конструктор объекта также принимает форму счётчика повторений (итераций), делая ключ сильнее. Это связано с тем, что увеличение количества повторов увеличивает время, затрачиваемое на работу с набором ключей во время атаки по типу «brute force» (метод «грубой силы» или полный перебор значений). Затем PBEKeySpec передаётся в SecretKeyFactory, который, наконец, генерирует ключ как массив byte[]. Мы перенесём этот массив byte[] в объект SecretKeySpec, как есть.

char[] passwordChar = passwordString.toCharArray(); //Turn password into char[] array
PBEKeySpec pbKeySpec = new PBEKeySpec(passwordChar, salt, 1324, 256); //1324 iterations
SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
byte[] keyBytes = secretKeyFactory.generateSecret(pbKeySpec).getEncoded();
SecretKeySpec keySpec = new SecretKeySpec(keyBytes, "AES");

Обратите внимание, что пароль передаётся как массив char[], и класс PBEKeySpec сохраняет его так же, как массив char[]. Массив char[] обычно используются для функций шифрования, потому что класс String неизменяем, а массив char[], содержащий конфиденциальную информацию, может быть перезаписан, что позволяет полностью удалить конфиденциальные данные из физической памяти устройства (RAM).

Векторы инициализации

Теперь мы готовы зашифровать данные, но есть ещё одна вещь. Существуют различные способы шифрования AES, но мы будем использовать рекомендуемый вариант: последовательность блочного шифра — cipher block chaining (CBC). Это работает по нашим данным по одному блоку за раз. Самое замечательное в этом методе заключается в том, что каждый следующий незашифрованный блок данных сцепляется по методу XOR с предыдущим зашифрованным блоком, чтобы сделать шифрование более сильным. Однако это означает, что первый блок никогда не бывает таким уникальным, как все остальные!

Если сообщение, которое нужно зашифровать, должно начинаться с того же самого, что и другое зашифрованное сообщение, начальный зашифрованный вывод будет таким же, и это даст злоумышленнику ключ к выяснению того, какое же это сообщение. Решением является использование вектора инициализации (IV).

IV — это всего лишь блок случайных байтов, который будет смешиваться по XOR с первым блоком пользовательских данных. Поскольку каждый блок зависит от всех блоков, обработанных до этой точки, всё сообщение будет зашифровано идентично, а идентичные сообщения, зашифрованные одним и тем же ключом, не дадут одинаковых результатов. Давайте теперь создадим IV.

SecureRandom ivRandom = new SecureRandom(); //not caching previous seeded instance of SecureRandom
byte[] iv = new byte[16];
ivRandom.nextBytes(iv);
IvParameterSpec ivSpec = new IvParameterSpec(iv);

Примечание о SecureRandom. В версиях 4.3 и ниже, архитектура криптографии Java имела уязвимость из-за неправильной инициализации базового генератора псевдослучайных чисел (PRNG).  Если вы нацелены на версии 4.3 и ниже, доступно исправление.

Шифрование данных

Вооружившись IvParameterSpec, мы можем теперь делать действительно шифрование.

Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
cipher.init(Cipher.ENCRYPT_MODE, keySpec, ivSpec);
byte[] encrypted = cipher.doFinal(plainTextBytes);

Здесь мы передаём строку "AES/CBC/PKCS7Padding". Это указывает на шифрование AES с последовательностью блочного шифра.  Последняя часть этой строки указывает на PKCS7, что является стандартом для заполнения данных, которые не вписываются в размер блока. (Блоки 128 бит, а заполнение выполняется до шифрования).

Чтобы завершить наш пример, мы поместим этот код в метод шифрования, который упакует результат в HashMap, содержащий зашифрованные данные, вместе с солью и вектором инициализации, необходимым для дешифрования.

private HashMap<String, byte[]> encryptBytes(byte[] plainTextBytes, String passwordString)
{
    HashMap<String, byte[]> map = new HashMap<String, byte[]>();
    
    try
    {
        //Random salt for next step
        SecureRandom random = new SecureRandom();
        byte salt[] = new byte[256];
        random.nextBytes(salt);

        //PBKDF2 - derive the key from the password, don't use passwords directly
        char[] passwordChar = passwordString.toCharArray(); //Turn password into char[] array
        PBEKeySpec pbKeySpec = new PBEKeySpec(passwordChar, salt, 1324, 256); //1324 iterations
        SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
        byte[] keyBytes = secretKeyFactory.generateSecret(pbKeySpec).getEncoded();
        SecretKeySpec keySpec = new SecretKeySpec(keyBytes, "AES");

        //Create initialization vector for AES
        SecureRandom ivRandom = new SecureRandom(); //not caching previous seeded instance of SecureRandom
        byte[] iv = new byte[16];
        ivRandom.nextBytes(iv);
        IvParameterSpec ivSpec = new IvParameterSpec(iv);

        //Encrypt
        Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
        cipher.init(Cipher.ENCRYPT_MODE, keySpec, ivSpec);
        byte[] encrypted = cipher.doFinal(plainTextBytes);

        map.put("salt", salt);
        map.put("iv", iv);
        map.put("encrypted", encrypted);
    }
    catch(Exception e)
    {
        Log.e("MYAPP", "encryption exception", e);
    }

    return map;
}

Метод дешифрования

С вашими данными нам нужно хранить только IV и «соль». Хотя «соль» и IV считаются общедоступными, убедитесь, что они не последовательно инкрементируются или используются повторно. Чтобы расшифровать данные, всё, что нам нужно сделать, это изменить режим в конструкторе Cipher с ENCRYPT_MODE на DECRYPT_MODE.  Метод дешифрования возьмёт HashMap, который содержит ту же требуемую информацию (зашифрованные данные, «соль» и IV) и вернёт дешифрованный массив byte[], передающий правильный пароль.  Метод дешифрования восстановит ключ шифрования из пароля. Ключ никогда не должен сохраняться!

private byte[] decryptData(HashMap<String, byte[]> map, String passwordString)
{
    byte[] decrypted = null;
    try
    {
        byte salt[] = map.get("salt");
        byte iv[] = map.get("iv");
        byte encrypted[] = map.get("encrypted");

        //regenerate key from password
        char[] passwordChar = passwordString.toCharArray();
        PBEKeySpec pbKeySpec = new PBEKeySpec(passwordChar, salt, 1324, 256);
        SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
        byte[] keyBytes = secretKeyFactory.generateSecret(pbKeySpec).getEncoded();
        SecretKeySpec keySpec = new SecretKeySpec(keyBytes, "AES");

        //Decrypt
        Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
        IvParameterSpec ivSpec = new IvParameterSpec(iv);
        cipher.init(Cipher.DECRYPT_MODE, keySpec, ivSpec);
        decrypted = cipher.doFinal(encrypted);
    }
    catch(Exception e)
    {
        Log.e("MYAPP", "decryption exception", e);
    }

    return decrypted;
}

Тестирование шифрования и дешифрования

Чтобы упростить пример, мы исключаем проверку ошибок на то, что HashMap содержит необходимые пары ключей и значений. Теперь мы можем протестировать наши методы, чтобы гарантировать, что данные будут правильно дешифрованы после шифрования.

//Encryption test
String string = "My sensitive string that I want to encrypt";
byte[] bytes = string.getBytes();
HashMap<String, byte[]> map = encryptBytes(bytes, "UserSuppliedPassword");

//Decryption test
byte[] decrypted = decryptData(map, "UserSuppliedPassword");
if (decrypted != null)
{
    String decryptedString = new String(decrypted);
    Log.e("MYAPP", "Decrypted String is : " + decryptedString);
}

Эти методы используют массив byte[], чтобы вы могли шифровать произвольные данные, а не только объекты String.

Сохранение зашифрованных данных

Теперь, когда у нас есть зашифрованный массив byte[], мы можем сохранить его в хранилище.

FileOutputStream fos = openFileOutput("test.dat", Context.MODE_PRIVATE);
fos.write(encrypted);
fos.close();

Если вы не хотите сохранять IV и «соль» отдельно, то HashMap сериализуется с классами ObjectInputStream и ObjectOutputStream.

FileOutputStream fos = openFileOutput("map.dat", Context.MODE_PRIVATE);
ObjectOutputStream oos = new ObjectOutputStream(fos);
oos.writeObject(map);
oos.close();

Сохранение безопасных данных в SharedPreferences

Вы также можете сохранить защищенные данные в SharedPreferences вашего приложения.

SharedPreferences.Editor editor = getSharedPreferences("prefs", Context.MODE_PRIVATE).edit();
String keyBase64String = Base64.encodeToString(encryptedKey, Base64.NO_WRAP);
String valueBase64String = Base64.encodeToString(encryptedValue, Base64.NO_WRAP);
editor.putString(keyBase64String, valueBase64String);
editor.commit();

Поскольку SharedPreferences представляет собой XML-структуру, которая принимает только определённые примитивы (встроенный тип данных) и объекты в качестве значений, нам необходимо преобразовать наши данные в совместимый формат, такой как объект String. Base64 позволяет преобразовать необработанные данные в представление String, которое содержит только символы, разрешённые XML-форматом. Зашифруйте ключ и значение так, чтобы злоумышленник не смог понять, для чего может быть это значение. В приведённом выше примере, оба, и encryptedKey и encryptedValue являются зашифрованными массивами byte[], возвращаемыми из нашего метода encryptBytes(). IV и «соль» можно сохранить в файле настроек или в виде отдельного файла. Чтобы вернуть зашифрованные байты из SharedPreferences, мы можем применить декодер Base64 над сохранённой String.

SharedPreferences preferences = getSharedPreferences("prefs", Context.MODE_PRIVATE);
String base64EncryptedString = preferences.getString(keyBase64String, "default");
byte[] encryptedBytes = Base64.decode(base64EncryptedString, Base64.NO_WRAP);

Очистка небезопасных данных для старых версий

Теперь, когда данные в надежно сохранены, может случиться так, что в ранней версии приложения остались данные в небезопасном хранилище. С обновлением, эти данные можно уничтожить и перешифровать. Следующий код сбрасывает файл, использующий случайные данные.

Теоретически вы можете просто удалить общие настройки, удалив файлы /data/data/com.your.package.name/shared_prefs/your_prefs_name.xml и your_prefs_name.bak, затем очистить настройки из памяти следующим кодом:

getSharedPreferences("prefs", Context.MODE_PRIVATE).edit().clear().commit();

Однако, вместо того, чтобы пытаться стереть старые данные и надеяться, что это сработает, лучше всего, в первую очередь, их зашифровать! Это особенно актуально для твердотельных накопителей, которые часто распространяют записи данных по разным регионам для предотвращения износа. Это означает, что даже если вы перезапишете файл в файловой системе, физическая твердотельная память может сохранить ваши данные в исходном местоположении на диске.

public static void secureWipeFile(File file) throws IOException
{
    if (file != null && file.exists())
    {
        final long length = file.length();
        final SecureRandom random = new SecureRandom();
        final RandomAccessFile randomAccessFile = new RandomAccessFile(file, "rws");
        randomAccessFile.seek(0);
        randomAccessFile.getFilePointer();
        byte[] data = new byte[64];
        int position = 0;
        while (position < length)
        {
            random.nextBytes(data);
            randomAccessFile.write(data);
            position += data.length;
        }
        randomAccessFile.close();
        file.delete();
    }
}

Выводы

На этом закончим наш урок по хранению зашифрованных данных. Из него вы узнали, как безопасно шифровать и дешифровать конфиденциальные данные с помощью пароля, предоставленного пользователем. Это легко сделать, когда вы знаете, как это сделать, но важно следовать лучшим методам, для обеспечения надёжной защиты данных ваших пользователей.

В следующем уроке мы рассмотрим, как использовать KeyStore и другие API-интерфейсы, связанные с учётными данными, для безопасного хранения элементов. В то же время, ознакомьтесь с некоторыми из наших замечательных материалов о разработке приложений для Android.

• 
  Android SDK
  Sending Data With Retrofit 2 HTTP Client for Android
  Chike Mgbemena
• 
  Android SDK
  Sending Data With Retrofit 2 HTTP Client for Android
  Chike Mgbemena
• 
  Android SDK
  Как создать чат приложение для Android с помощью Firebase
  Ashraff Hathibelagal