我正在使用android 4.3中引入的安全/改进密钥库进行调查。
我想在这个密钥库中存储一个加密密钥,这个密钥用于加密sqllite数据库和我的共享首选项中包含的值。
当我查看sdk中的keystore示例时,可以看到以下内容:
public static final String ALIAS = "my_key"
如果有人能够反编译我的代码,他们将能够看到明文别名(=从密钥库检索加密密钥的密钥),因此他们将能够获得对我的加密密钥的引用。如何安全地管理我的别名?还是我错过了重点?
最佳答案
别名不是敏感信息。每个密钥库都与一个密码关联,每个密钥也有自己的(可选)密码。这些是必须保持安全的价值观。
如果没有密码,攻击者即使知道别名,也无法读取您的密钥材料。
关于android - Android Keystore, key 的安全值,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/20466432/