可以有一个“秘密”吗？已编译的 Obj-C 应用程序中的字符串会被发现吗？

Question

我需要将数据从我的 iPhone 应用程序发送到我的网络服务器，然后返回。为了安全地做到这一点，我使用了加密算法。它需要服务器和用户都必须知道的密钥才能进行解密。我当时正在考虑在我的应用程序和服务器上使用一个简单的静态字符串作为密钥，但后来我想起编译后的代码仍然可以反汇编和查看，但只能在一定程度上进行。

那么，通过将加密方法和“秘密”字符串放入应用程序的源代码中，我的安全性如何？还有其他方法可以安全地完成应用程序和服务器之间的通信吗？

谢谢。

Answer 1

是的，可以很容易地找到它。在可执行文件上运行 strings 程序，您可能会找到它。此外，程序中的任何内容都可以“找到”，因为它必须开放供阅读。

使用 SSL 进行安全连接。它使用非对称加密，这意味着加密数据的密钥与解密数据所需的密钥不同。这样，即使攻击者发现了您的加密密钥，他们仍然无法使用它进行解码。所有主要的 HTTP 服务器和客户端库都支持 HTTPS，这就是它的作用。

Answer 2

您认为“一定程度”具体是指什么？您的应用程序包含的每条指令和每条数据都可供查看。此外，对每个设备使用相同的密钥是加密疯狂的终极表现。

只需使用 HTTPS。 SSL/TLS 是一种安全、经过验证的技术，内置于每个主要 HTTP 服务器和每个主要 HTTP 客户端库中。

Answer 3

您使用对称算法。如果您需要高安全性，也许您应该考虑采用非对称方法。这样，您甚至可以在每次会话时重新创建密钥，并且只需要交换公钥。

这里有一些例子：

• RSA
• Diffie-Hellman
• ElGamal
• ECDSA
• XTR

Answer 4

iOS 具有钥匙串服务，用于安全且（相对）轻松地存储加密密钥等内容。查看 钥匙串服务编程。

您可能需要的所有加密 API 也可以在 libSystem 中包含的 CommonCrypto 库中找到。简而言之，在保护 iOS 应用程序时无需走捷径。

Answer 5

正如其他人所说，您的提议是完全不安全的。如果有人关心您的应用程序，他们会在发布后 10 分钟内将密钥发布到互联网上。

您需要研究的内容包括：

1. 非对称加密算法
2. Diffie-Hellman 密钥交换

（注意 - 我并不是说这些是您问题的解决方案，但了解它们将使您了解所涉及的问题，并更好地准备您选择解决方案）

另外一点，为什么不能只使用 HTTPS 连接？

最后，如果此加密方案正在保护关键数据，那么您可能最好聘请顾问来帮助您，因为作为该主题的新手，您肯定会犯一些基本错误。