是否可以更新钥匙串项目的 kSecAttrAccessible 值?

【问题标题】:Is it possible to update a Keychain item's kSecAttrAccessible value?是否可以更新钥匙串项目的 kSecAttrAccessible 值?
【发布时间】:2011-07-19 03:52:02
【问题描述】:

是否可以更新钥匙串中现有项目的属性kSecAttrAccessible 的值?项目添加到钥匙串后似乎无法更改。以下步骤支持我的假设。

向钥匙串添加新项目:

NSData *encodedIdentifier = [@"BUNDLE_IDENTIFIER" 
                             dataUsingEncoding:NSUTF8StringEncoding];
NSData *encodedPassword = [@"PASSWORD"
                           dataUsingEncoding:NSUTF8StringEncoding];

// Construct a Keychain item
NSDictionary *keychainItem = 
    [NSDictionary dictionaryWithObjectsAndKeys:
        kSecClassGenericPassword, kSecClass,
        encodedIdentifier, kSecAttrGeneric,
        encodedIdentifier, kSecAttrService,
        @"USERNAME", kSecAttrAccount,
        kSecAttrAccessibleWhenUnlocked, kSecAttrAccessible,
        encodedPassword, kSecValueData
        nil];

// Add item to Keychain
OSStatus addItemStatus = SecItemAdd((CFDictionaryRef)keychainItem, NULL);

稍后,将属性kSecAttrAccessiblekSecAttrAccessibleWhenUnlocked 更改为kSecAttrAccessibleAfterFirstUnlock

NSData *encodedIdentifier = [@"BUNDLE_IDENTIFIER" 
                             dataUsingEncoding:NSUTF8StringEncoding];

NSDictionary *query = [NSDictionary dictionaryWithObjectsAndKeys:
                       kSecClassGenericPassword, kSecClass,
                       encodedIdentifier, kSecAttrGeneric,
                       encodedIdentifier, kSecAttrService,
                       nil];

NSDictionary *updatedAttributes = 
    [NSDictionary dictionaryWithObject:kSecAttrAccessibleAfterFirstUnlock 
                                forKey:kSecAttrAccessible];

OSStatus updateItemStatus = SecItemUpdate((CFDictionaryRef)query, 
                                          (CFDictionaryRef)updatedAttributes);

这种方法的问题是updateItemStatus 总是导致errSecUnimplemented 状态。

我认为应该可以更新kSecAttrAccessible 的值,因为应用程序的需求发生了变化。如果一个应用程序过去在 Keychain 中添加了 10 个项目而没有使用 kSecAttrAccessible 指定保护等级会怎样。如果开发人员没有明确设置保护等级,钥匙串会隐式地为新项目分配值kSecAttrAccessibleWhenUnlocked。稍后,开发人员需要将保护类更改为kSecAttrAccessibleAfterFirstUnlock,因为应用程序必须在后台访问它(多任务)。开发者如何做到这一点?

苹果开发者论坛里已经有一个帖子了,但是还没有答案:https://devforums.apple.com/thread/87646?tstart=0

【问题讨论】:

    标签: iphone security ios ipad keychain


    【解决方案1】:

    我无法得到其他答案。我最终测试了 kSecAttrAccessibile,如果不是我想要的,我将钥匙串中的值和属性记录在局部变量中,重置钥匙串,根据需要设置 kSecAttrAccessible,然后将钥匙串中的值和属性设置为其原始设置。

    【讨论】:

    • 你不会碰巧有这个代码sn-p吧?无法使其正常工作
    【解决方案2】:

    在 Apple Developer Technical Support (ADTS) 中打开支持事件后,我收到了回答此问题的回复。 SecItemUpdate() 需要通过属性 kSecValueData 的 Keychain 项的数据来执行属性 kSecAttrAccessible 的更新。根据 ADTS,此约束目前未记录在参考文档中。

    NSData *encodedIdentifier = [@"BUNDLE_IDENTIFIER" 
                             dataUsingEncoding:NSUTF8StringEncoding];
NSDictionary *query = [NSDictionary dictionaryWithObjectsAndKeys:
                       kSecClassGenericPassword, kSecClass,
                       encodedIdentifier, kSecAttrGeneric,
                       encodedIdentifier, kSecAttrService,
                       nil];

// Obtain the Keychain item's data via SecItemCopyMatching()
NSData *itemData = ...;

NSDictionary *updatedAttributes = 
    [NSDictionary dictionaryWithObjectsAndKeys:
        kSecAttrAccessibleAfterFirstUnlock, kSecAttrAccessible,
        (CFDataRef)itemData, kSecValueData,
        nil];

OSStatus updateItemStatus = SecItemUpdate((CFDictionaryRef)query, 
                                          (CFDictionaryRef)updatedAttributes);

// updateItemStatus should have the value errSecSuccess

    【讨论】:

    • 现在是documented 在iOS 4 及更早版本中需要。
    • 如果您使用 RSA 密钥对,请确保对 both 密钥执行此操作。
    • @PatrickGoley 我需要帮助在设备锁定时读取我的私钥您知道在生成密钥对期间我应该如何设置kSecAttrAccessible 吗?我应该如何设置kSecAttrAccessible 来阅读它?我的问题只针对密钥对。谢谢
    • 这不起作用。有没有人解决这个问题?
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-06-21
    • 1970-01-01
    • 1970-01-01
    • 2017-07-02
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode