Android - SSL/TLS 和 ECC(椭圆曲线加密)

【问题标题】:Android - SSL/TLS and ECC (Elliptic curve cryptography)Android - SSL/TLS 和 ECC(椭圆曲线加密)
【发布时间】:2017-10-19 21:08:30
【问题描述】:

我正在开发一个与 Web 服务器通信的 android 应用程序。我们使用 HTTPS 进行这种通信,并且我们在 android 应用程序中还有一个客户端证书用于身份验证。

我们使用 ECC (ANSI x9.62) 创建了 SSL 证书,以便拥有非常小的证书,这样我们就可以减少握手期间的传输成本。

通讯的源代码大致是这样的:

InputStream keystoreIs = getResources().openRawResource(R.raw.client_bks);
KeyStore keystore = KeyStore.getInstance("BKS");
keystore.load(keystoreIs, KEYSTORE_PASSWORD);

SSLSocketFactory socketFactory = new SSLSocketFactory(keystore, KEYSTORE_PASSWORD,  keystore);
Scheme serverScheme = new Scheme("https", socketFactory, SERVER_PORT);
HttpClient httpclient = new DefaultHttpClient();
httpclient.getConnectionManager().getSchemeRegistry().register(iServerScheme);
HttpPost httppost = new HttpPost(SERVER_URL);
HttpResponse response = httpclient.execute(httppost);

问题在于,当我们尝试连接时,会出现如下错误:

E/NativeCrypto(4744): Unknown error 5 during connect
W/System.err(4744): java.io.IOException: SSL handshake failure: I/O error during system call, Connection reset by peer
W/System.err(4744):     at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.nativeconnect(Native Method)
W/System.err(4744):     at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:316)
W/System.err(4744):     at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl$SSLInputStream.<init>(OpenSSLSocketImpl.java:520)
W/System.err(4744):     at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.getInputStream(OpenSSLSocketImpl.java:461)
W/System.err(4744):     at org.apache.http.impl.io.SocketInputBuffer.<init>(SocketInputBuffer.java:93)
W/System.err(4744):     at org.apache.http.impl.SocketHttpClientConnection.createSessionInputBuffer(SocketHttpClientConnection.java:83)
W/System.err(4744):     at org.apache.http.impl.conn.DefaultClientConnection.createSessionInputBuffer(DefaultClientConnection.java:170)
W/System.err(4744):     at org.apache.http.impl.SocketHttpClientConnection.bind(SocketHttpClientConnection.java:106)
W/System.err(4744):     at org.apache.http.impl.conn.DefaultClientConnection.openCompleted(DefaultClientConnection.java:129)
(...)

我试图找到一个使用 ECC 和 SSL 的示例,但我没有找到任何东西。我发现了几篇关于加密和密钥对生成的文章(例如 http://nelenkov.blogspot.com/2011/12/using-ecdh-on-android.html#!/2011/12/using-ecdh-on-android.html),但没有与这种 SSL 错误相关的文章。

我们将不胜感激任何反馈。提前谢谢你!

【问题讨论】:

  • 您确定客户端和服务器都支持ECC证书吗? ECC 是一种稀有鸟类。
  • 我知道 IIS 支持 ECC 证书,因为我使用 IExplorer 和 Firefox 进行了测试。我不知道android是否支持ECC证书。我在 Android 上使用 ECC 密码进行了一些小测试,但对证书一无所知。

标签: android https bouncycastle


【解决方案1】:

默认 Android 7.0 SSLSocketFactory 不支持 OpenSSL/BoringSSL 已知的所有椭圆曲线。握手仅在 Client Hello 中的 supported_curves 中列出 secp256r1

SSLEngine 文档甚至没有提到支持的曲线。

如果服务器不能同意使用该曲线,它将关闭连接,并且客户端的握手失败并显示 I/O 错误。

Android 上的 Chrome 支持 3 种常见曲线,secp256r1secp384r1x25519

编辑

我应该添加签名哈希算法支持扩展确实包括带有 SHA1 到 SHA512 的 ECDSA,所以在服务器端使用 ECDSA 证书应该没问题。

【讨论】:

    猜你喜欢
    • 2021-05-07
    • 2011-12-21
    • 1970-01-01
    • 2015-02-11
    • 1970-01-01
    • 1970-01-01
    • 2013-02-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode