Android——加密与解密

Question

我正在通过 HTTP 连接下载 XML 文件，现在我需要在 FTP 中加密 XML，在下载之前我将检查 XML 签名（或解密），然后再使用它。我已经获得了应用程序签名（976 个字母和数字的组合），但我不知道是否可以使用我的签名字符串来验证我的 XML？或者私钥/公钥解决方案？但是如何创建密钥以及如何将它们存储在 APK 中？

谢谢

Answer 1

最好的方法是使用非对称密钥对（RSA 最常见），您可以在 FTP 站点上对数据进行签名，并将您的私钥，呃，私钥和公钥保存在 Android 设备上。您可以使用另一个密钥对进行加密/解密。您可以使用您的签名字符串作为 Android 设备上的私有解密密钥的密码。确保您的应用程序不易受到 padding oracle 攻击（加密，然后签名，或者如果解密失败则不通知另一方）。

请注意，实现您自己版本的 XML 签名/验证或 XML 加密/解密可能非常困难（并且充满了至少与使用 XML 安全相关库相匹配的陷阱）。我建议尝试将 XML 包装在 CMS 容器中。

对于其他用户，您的后一个问题的链接：
Android - 验证 XML 的签名

Answer 2

owlstead 是对的，尝试重新发明轮子并不是最佳选择。另一方面，如果您确实想要实现它或了解如何实现它，那么签名和验证 XML 文件的内部结构就很简单。首先，生成 RSA 公钥/私钥对。然后，您获取 XML 文件的哈希值并使用 RSA 密钥加密该哈希值，并将加密数据与 XMl 文件一起发送，这样您的 XML 文件就已签名。要验证文件，您只需获取 XML 文件的哈希值并将其与加密哈希值（解密后）进行比较，看看它们是否匹配。如果是这样，则说明文件在此过程中没有经过调整。