需要安全地存储和传输密钥

Question

我面临的问题是一个有趣的问题，我的安全知识很强，但我的理解很弱。也就是说，我了解该理论，但在这方面几乎没有实际应用。我存储了密码，使用盐传输它们，验证了它们的哈希值，等等。我的需求相似但具体。

我有一个应用程序，其他外部应用程序可以通过 ContentProvider URI“挂钩”。外部应用程序可以由任何人开发，因此我无法控制它们。但是，我想限制订阅者的某些访问权限。为了促进这一点，每个“订阅的”应用程序都将有一个注册到其包名称的密钥。然后 ContentProvider 需要验证该密钥是否有效。

我的问题是这样的： 由于它是通过 URI 传递的，因此很容易拦截传输中的密钥。此外，我的订阅者需要一种方法来存储自己的密钥，而无需连接到安全服务器。当然，他们不能将密钥作为文字存储在应用程序中，因为这很容易导致漏洞。我试图提供尽可能多的解决方案，而不必“信任”这些其他应用程序的安全性。

那么，我们如何在我的数据库及其外部应用程序中存储密钥，并允许他们将其发送给我以进行专门验证的查询？我认为我理解如何做到这一点的问题是持久存储的方面以及它如何影响模型。也就是说，对于密码模型，密码是被键入的并且通常不被存储。

模糊逻辑

Answer 1

处理加密质询/响应中的密钥。

客户端请求使用预先确定的每个应用程序公钥加密的质询值。
如果客户端随后将使用客户端特定服务器的公钥加密的正确值返回给服务器，则握手成功。

使用每个应用程序的私钥/公钥以及诸如挑战值的引导之类的东西，将很难复制。

除非最初注册应用程序开发人员，否则密钥永远不会易手。