Android где и как хранить ключи?

Question

[Илья Павловский]

Насущный вопрос, который мучает очень долго. Как же и где хранить ключи в Andorid?
Если на примере, то: имеется сервис доступ к которому осуществляется через определенный токен и стоимость его не из дешевых. Конечно бы не хотелось выдать их 3му лицу, и прибегнуть к алгоритмам шифрации данных.

@NonNull
    public static String encryptString(@NonNull String text){
        try {
            Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
            SecretKeySpec secretKey = new SecretKeySpec(KEY.getBytes(), "AES");
            cipher.init(Cipher.ENCRYPT_MODE, secretKey);
            byte[] array = cipher.doFinal(text.getBytes());
            return new String(Base64.encode( array,Base64.DEFAULT));
        }catch (Exception e){
            e.printStackTrace();
            return "";
        }
    }

    @NonNull
    public static String decryptString(@NonNull String text){
        try {
            Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
            SecretKeySpec secretKey = new SecretKeySpec(KEY.getBytes(), "AES");
            cipher.init(Cipher.DECRYPT_MODE, secretKey);
            byte[] base64 = Base64.decode(text,Base64.DEFAULT);
            byte[] array = cipher.doFinal(base64);
            return new String(array);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return "";
    }

Как видно, здесь используется шифрация/дешифрация с открытым ключом. Т/е/ ключи от дорогого сервиса мы сначала энкодим и храним у себя в проекте особо не боясь за его прямую кражу. Но тут возникает насущный вопрос - коли у Android все так плохо с обходом декомпиляции, да и обфускация вряд ли остановит злоумышленника в поиске желанного, то где же и как хранить такие ключи?

Answer 1

[Иван]

Вы никак и никуда не спрячете ключ на устройстве так, чтобы его было не достать, я вам это гарантирую.

Единственный вариант, который мне видится - это HTTPS соединение с сервером и хранения ключа там, но и тут все равно, при желании можно достать.

Comments

[Денис Загаевский]

Так это, HTTPS тут не спасёт. Приложение находится в полностью контролируемой среде, можно MiTM устроить как нефиг делать.

[Иван]

Denis Zagayevskiy: Я и говорю, что это тоже не поможет, всё можно подменить\дешифровать и так далее...
Весь трафик элементарно снифается доступными утилитами.

На андроиде ничто и никуда не спрятать, это факт.

[Илья Павловский]

Если апп подписанный, то вроде отснифать не так уж и просто.
А если прятать не в памяти устройства, а в коде? Просто обфускация строковые значения не затрагивает, но может есть решение, как это можно максимально скрыть?
В голову приходил лишь алгоритм создания громадного зашифрованного файла, нужные строки из которого получаются посредством использования определенного метода, хоть какой-то вариант, притормозит умыслы злоумышленника.

[Иван]

Илья Павловский: ставится fiddler + пропускается траффик через ПК и всё легко снифается )
Дешифровка спрятанных строк в коде занимает не так много времени, находится метод, который дергается для дешифровки и производится его отладка в ИДЕ.
Зашифроанный файл тоже не панацея, займет на 5 минут дольше времени.

Даже динамическая подгрузка памяти в код не поможет) и смена PID процесса и убивание его при использовании отладчика gdb.

Если интересна эта тема, то могу долго про это говорить :-D

[Илья Павловский]

Иван: хм. Так как быть то в такой ситуации ?

[Иван]

Илья Павловский: ну в открытую, понятное дело, не хранить, минимально зашифровать.
Если захотят достать - достанут.

Если бы вам нужно было не оффлайновое, то можно было бы вынести всю работу через ваш сервер и только на нем проводить работу с ключём.

На телефоне вы гарантировано ничего не спрячете, могу в ЛС подкинуть пару советов как это спрятать получше и увеличить время расшифровки в пару раз, но это все равно можно будет достать.

[Илья Павловский]

Иван: был бы очень благодарен, pavlovskii_ilya@mail.ru

Answer 2

[Петр]

А что мешает проксировать данный сервис, через свой сайт? И пароли будут в безопасности и доступ сможете контролировать.

Comments

[Илья Павловский]

Один из оптимальных вариантов, но не вариант. Требуется оффлайн работа.

[Петр]

Илья Павловский: А причем тут оффлайн работа? Получили данные со своего сайта, а потом обрабатывайте их сколько угодно.