xmoonlight

1. Сервер создаёт (генерирует случайно) при регистрации пользователя REST-token и затем, постоянно хранит в своей базе данных связку REST-token'а с клиентом (1-к-1): clientID => REST-token
2. REST-token - сервер передаёт клиенту через E-MAIL или SMS сразу после регистрации и просит ввести выданный код в поле, находящееся внутри запущенного приложения.
Или же, активировать переходом по ссылке, если это - web-приложение в браузере, открываемое по линку (а не stand-alone, запускаемое с ярлыка мобильного интерфейса).
3. Клиент подписывает каждый запрос к серверу этим токеном.

REST-token - клиент никогда не передаёт!

4. Сервер при поступлении запроса от клиента - подписывает все данные запроса токеном того же клиента на своей стороне.
5. Сервер сразу же сверяет: если подписи совпадают - запрос принимается к исполнению.

Для предотвращения подбора ключа REST-token - вводится случайно-генерируемая переменная в перечень полезных параметров при запросах к API: r,rand,random и т.д.

Так вот для начала спрошу правильная ли схема (если не то подскажите где и что не так)? Если да, то как мне сделать всю эту клиентскую логику , а именно: Как обрабатывать сертификат, генерировать ключ, добавлять MAC к запросу и прочее. С помощь каких библиотек это делать?

А теперь - деобфускация:

Подскажите: как сделать HTTPS своими силами по пунктам? С помощь каких библиотек это делать?

Ответ:

Одним из самых распространённых применений TLS является HTTPS. HTTPS стремительно вытесняет незащищённую версию (HTTP): доля зашифрованного веб-трафика растёт, скорее всего, в скором будущем (несколько лет, 2016) практически весь веб-трафик будет зашифрован. В новой версии HTTP/2 защита информации средствами TLS будет использоваться по умолчанию. Благодаря такому положению дел, SSL/TLS - один из самых изученных, исследованных протоколов современного Интернета.

Все подробности по работе протокола - здесь.

Функция для создания защищённого подключения HTTPS на Android: HttpsURLConnection

Смотрите на реализацию CRAM-MD5
(вместо MD5, ставите любую более "устойчивую" hash-функцию)

нужно будет узнать алгоритм получения соли в android приложении.Все так?Или где-то дырка

именно в этом и дырка, что достать алгоритм из приложения - проще простого!

1. А вот так легко!
2. TLS

Алгоритмы, использующиеся в TLS

В текущей версии протокола доступны следующие алгоритмы:

Для обмена ключами и проверки их подлинности применяются комбинации алгоритмов: RSA (асимметричный шифр), Diffie-Hellman (безопасный обмен ключами), DSA (алгоритм цифровой подписи), ECDSA;
Для симметричного шифрования: RC4, IDEA, Triple DES, SEED, Camellia или AES;
Для хеш-функций: MD5, SHA, SHA-256/384.

Алгоритмы могут дополняться в зависимости от версии протокола. До последней версии протокола TLS 1.2 были доступны также следующие алгоритмы симметричного шифрования, но они были убраны как небезопасные: RC2, IDEA, DES.

Вижу 2 возможных варианта:
1. Отправляется подписанный приложением запрос на регистрацию на основе уникального идентификатора устройства (Telephony.DeviceID / ANDROID_ID / Mac Adress и возможно ещё каких-то данных) с шифрованием по открытому ключу приложения (ключ "вшит" внутри приложения): формула формирования - также, внутри приложения, запрос перед передачей - шифруется ключом.
Т.е. отправляются подписанные данные самим приложением, которые Вы не сможете подделать БЕЗ установленного приложения, что не даст понаделать тучу аккаунтов.
2. Возможно, что через ID пользователя гугл (используя API).

Скрытие: права доступа или сторонний драйвер разграничения доступа: www.winability.com/folderguard
Шифрование: BitLocker (встроено), VeraCrypt, Ciphershed

Да, т.к. без PN-последовательности не получить автокорелляционную функцию для конкретного сигнала.

Для этого в приёмнике полученный сигнал умножается на ту же чиповую последовательность, то есть вычисляется автокорреляционная функция сигнала.

Всё это держится на псевдослучайных числах