安全至关重要。 对于任何人来说显而易见的是,如果用于此类操作的加密秘密可以被定位、提取和读取,那么对数据进行加密或签名就没有意义了。 虽然这种说法应该很容易理解,但仍然有许多开发人员,特别是在移动领域,他们直接在代码中硬编码对称加密密钥或私钥。如果应用程序数据没有被深度混淆“通用”混淆器是不够的,这几乎就像放弃密钥并将其清晰地发布给任何人一样。 还 读 硬件安全模块 许多开发人员缺乏逆向工程文化,并且不了解逆向工程师用于反汇反编译和重构软件应用程序的工具和技术。 关于这一点,有句话说得好:“业余人士谈论加密。专业专注关键管理” 例如,开发人员可能认为加密密码秘密就足够了。但对于逆向工程师来说,理解秘密的加密机制并找到相应的密钥加密密钥等并不困难旨在混淆密钥的基本“自制”机制几乎没有机会成功抵御严重的攻击者。
乍一看拆分密将密钥与其他数据异或
等可能看起来很复杂,但对于经验丰富的移动逆向工程师来说,击败它们简直就是小菜一碟。 一旦找到并提取加密密钥,应用程序的整体安全性就会崩溃,因此应优先考虑对它们进行强有力的保护。 接下来,我们将列出移动开发中用于保护此类秘密的几种可能的技术。 还 读 移动应用程序安全问题 混淆 这可能是最直接的选择。 这个想法是隐藏、分割、破坏、标记化、混淆密钥,这样试图在代码中定位它们并重建它们在时间和资源方面成本太高——甚至是不可能的。 当然,正如我们提到的,基本技术是行不通的。为了成功 丹麦电话号码表 地对密钥进行混淆,需要进行大量的混淆,并且具有很高的复杂性。 没有关于加密密钥混淆的标准,因此设计者和专家需要创建最佳方法来保证足够的安全性以防止逆向。
在可能的技术中我们列出了以下这些
创建复杂的重建机制来生成密钥; 将密钥拆分为大量子密钥(重建密钥所需)并随机位于二进制文件中; 将密钥隐藏到虚拟密钥池中(欺骗技术); 建立工厂,生成大量虚拟密钥重构技术; 使用隐写技术。例如,将重建密钥所需的一些数据的密钥隐藏为位图、虚拟数据; 计算二进制文件中给定模式的出现次数,以生成重建密钥所需的数据。 复杂的重建机制可以涉及使用例如算法的定制散列或加密函数,该算法使用伪随机生成的数字来生成块设计,该伪随机生成的数字本 BH 列表 身取决于其他复杂参数。这通过默默无闻创造了非常好的安全性。 还 读 区块链网络安全 这些只是关键混淆技术的示例 安全内存 保护加密秘密的最佳方法是将它们存储(并最终在内部生成它们)安全内存单元。 安全(加密)内存通常是。
