5.6.2 密码学 规则书
原书:Android Application Secure Design/Secure Coding Guidebook
译者:飞龙
协议:CC BY-NC-SA 4.0
使用加密技术时,遵循以下规则:
5.6.2.1 指定加密算法时,请显式指定加密模式和填充(必需)
在使用加密技术和数据验证等密码学技术时,加密模式和填充必须显式指定。 在 Android 应用开发中使用加密时,你将主要使用java.crypto中的Cipher类。 为了使用Cipher类,你将首先通过指定要使用的加密类型,来创建Cipher类对象的实例。 这个指定被称为转换,并且有两种格式可以指定转换:
在后一种情况下,加密模式和填充将隐式设置为 Android 可以访问的加密服务供应器的适当默认值。 这些默认值优先考虑便利性和兼容性而选择,并且在某些情况下可能不是特别安全的选择。 为此,为了确保正确的安全保护,必须使用两种格式中的前者,其中显式指定了加密模式和填充。
5.6.2.2 使用强算法(特别是符合相关标准的算法)(必需)
使用加密技术时,选择符合特定标准的强算法很重要。 此外,在算法允许多个密钥长度的情况下,重要的是要考虑应用的整个产品生命周期,并选择足以确保安全性的密钥长度。 此外,对于一些加密模式和填充模式,存在已知的攻击策略;对这些威胁做出有力的选择是非常重要的。
确实,选择弱加密方法会造成灾难性后果。 例如,被加密来防止第三方窃听的文件,实际上可能仅受到无效保护,并且可能允许第三方窃听。 由于 IT 的不断进步导致加密分析技术的持续改进,因此至关重要的是,考虑并选择一个算法,它能够在运行的整个期间,保证安全性。在此时间,你希望应用保持运行。
实际加密技术的标准因国家而异,详见下表(单位:位)。
表 5.6-1 NIST(USA) NIST SP800-57
| 算法生命周期 |
对称密钥加密 |
非对称密钥加密 |
椭圆曲线加密 |
HASH(数字签名) |
HASH(随机数生成) |
| ~2010 |
80 |
1024 |
160 |
160 |
160 |
| ~2030 |
112 |
2048 |
224 |
224 |
160 |
| 2030~ |
128 |
3072 |
256 |
256 |
160 |
表 5.6-2 ECRYPT II (EU)
| 算法生命周期 |
对称密钥加密 |
非对称密钥加密 |
椭圆曲线加密 |
HASH |
| 2009~2012 |
80 |
1248 |
160 |
160 |
| 2009~2020 |
96 |
1776 |
192 |
192 |
| 2009~2030 |
112 |
2432 |
224 |
224 |
| 2009~2040 |
128 |
3248 |
256 |
256 |
| 2009~ |
256 |
15424 |
512 |
512 |
表 5.6-3 CRYPTREC(Japan) CRYPTREC 加密算法列表
| 技术族 |
|
名称 |
| 公钥加密 |
签名 |
DSA,ECDSA,RSA-PSS,RSASSA-PKCS1-V1_5 |
|
机密性 |
RSA-OAEP |
|
密钥共享 |
DH,ECDH |
| 共享密钥加密 |
64 位块加密 |
3-key Triple DES |
|
128 位块加密 |
AES,Camellia |
|
流式加密 |
KCipher-2 |
| 哈希函数 |
|
SHA-256,SHA-384,SHA-512 |
| 加密使用模式 |
密文模式 |
CBC,CFB,CTR,OFB |
|
认证密文模式 |
CCM,GCM |
| 消息认证代码 |
|
CMAC,HMAC |
| 实体认证 |
|
ISO/IEC 9798-2,ISO/IEC 9798-3 |
5.6.2.3 使用基于密码的加密时,不要在设备上存储密码(必需)
在基于密码的加密中,当根据用户输入的密码生成加密密钥时,请勿将密码存储在设备中。 基于密码的加密的优点是无需管理加密密钥;将密码存储在设备上消除了这一优势。 无需多说,在设备上存储密码会产生其他应用窃听的风险,因此出于安全原因,在设备上存储密码也是不可接受的。
5.6.2.4 从密码生成密钥时,使用盐(必需)
在基于密码的加密中,当根据用户输入的密码生成加密密钥时,请始终使用盐。 另外,如果你要在同一设备中为不同用户提供功能,请为每个用户使用不同的盐。 原因是,如果你仅使用简单的哈希函数生成加密密钥而不使用盐,则可以使用称为“彩虹表”的技术轻松恢复密码。使用了盐时,会使用相同的密码生成的密钥 将是不同的(不同的哈希值),防止使用彩虹表来搜索密钥。
示例:
public final byte[] encrypt(final byte[] plain, final char[] password) {
byte[] encrypted = null;
try {
Cipher cipher = Cipher.getInstance(TRANSFORMATION);
SecretKey secretKey = generateKey(password, mSalt);
5.6.2.5 从密码生成密钥时,指定适当的哈希迭代计数(必需)
在基于密码的加密中,当根据用户输入的密码生成加密密钥时,你需要选择在密钥生成过程(“拉伸”)中,散列过程的重复次数;指定足够大的数字来确保安全性非常重要。一般来说,1,000 或更大的迭代次数是足够的。如果你使用密钥来保护更有价值的资产,请指定 1,000,000 或更高的计数。由于散列函数的单个计算所需的处理时间很少,因此攻击者可能很容易进行爆破攻击。因此,通过使用拉伸方法(其中散列处理重复多次),我们可以有意确保该过程消耗大量时间,因此爆破攻击的成本更高。请注意,拉伸重复次数也会影响应用的处理速度,因此请谨慎选择合适的值。
示例:
private static final SecretKey generateKey(final char[] password, final byte[] salt) {
SecretKey secretKey = null;
PBEKeySpec keySpec = null;
(Omit)
keySpec = new PBEKeySpec(password, salt, KEY_GEN_ITERATION_COUNT, KEY_LENGTH_BITS);
5.6.2.6 采取措施来增加密码强度(推荐)
在基于密码的加密中,当基于用户输入的密码生成加密密钥时,生成的密钥的强度受用户密码强度的强烈影响,因此值得采取措施来加强从用户那里收到的密码。 例如,你可以要求密码长度至少为 8 个字符,并且包含多种类型的字符 - 可能至少包含一个字母,一个数字和一个符号。