目前我正在开发一个 android 应用程序,用于存储用户的重要数据,例如密码、卡号、网站用户名和密码等。我决定使用 SQLITE DB,以便用户的数据可以存储在他们自己的手机中以及我我计划实施 AES-256 ALGORITHM(SQLCiper) 以便使用密钥为数据提供加密。但我担心的是,如果有人进行逆向工程或生根,它会发挥多大作用以及会发生什么?
请帮助我弄清楚这一点。
提前致谢。
【问题讨论】:
标签: android sqlite android-studio android-sqlite sqlcipher
它根本不起作用。当然,您可以加密数据库。但是加密密钥在哪里?它在您的应用程序中。小型逆向工程将获得关键。
因此,您决定将密钥设为随机字符串并将其存储在安全存储中。这更强大......但后来我使用 AOSP 编译了一个自定义操作系统并覆盖了安全存储功能,以便还将存储到磁盘的数据记录下来。你设置了障碍,仅此而已。
因此,您决定将密钥保留在服务器上,并将其作为 https 请求的一部分发送出去,只保留在内存中。现在我需要做一些严肃的逆向工程。你会阻止脚本小子,但不会阻止经验丰富的逆向工程师。
您实际上是如何确保数据安全的?根本不要把它放在客户端上。然后它完全安全。当然,您现在必须保护客户端和服务器之间的协议。并且不要给客户任何他不应该使用的数据——如果你有所有用户的信息,只把这个用户的信息放在客户端数据库中。
基本上,您不会对授权用户保密数据。您最多可以设置几个减速带。确定数据实际上是多么秘密,您期望谁是攻击者(无聊的高中生?经验丰富的逆向工程师?国家?)并使用它来确定投入多少精力,以及数据应该存储在哪里。
【讨论】: