bur*_*rsk 39 java android code-signing jar-signing apk
我想使用存储在我的Yubikey的OpenPGP小程序中的OpenPGP密钥来签署APK文件.
我知道,有一个使用Yubikey的PIV applet进行APK签名的解决方案.但是,PIV applet只能处理密钥长度最多2048位的RSA密钥.
该BSI TR-02102-1加密机制技术指南(翻译英文版本)规定,从2023年(或2023年和以后的使用),只能用密钥长度大于或等于3000位RSA密钥是允许的.第一个可用的标准密钥长度是3072位.我必须遵守BSI TR-02102.
这总结为要求,我必须使用3072位的密钥长度和RSA作为算法,我不能使用PIV APK唱歌方法.
有没有办法使用Yubikey 4的OpenPGP小程序使用标准程序或使用自定义程序签署APK文件?
注意:私钥是在Yubikey上生成的,不可导出.这是由于Yubikey的设计和我的最低安全要求.因此,出口和对话不是一种可能的解决方案.
使用支持 RSA 3072 4096的 USB 令牌或智能卡 进行个人身份验证吗?甚至Yubikey 5也不支持 PIV / FIPS 201-2(这是一种智能卡模拟)。我已经搜索了一段时间,但似乎还没有任何硬件支持它(如果它适用的话);我能找到的替代品是RSA SecurID、Nitrokey Pro 2和Gemalto IDBridge K50。
对于 APK 签名v2或v3 ,上传密钥的强度可能甚至没有那么重要......它说RSA 1024, RSA 2048, RSA 4096, RSA 8192, RSA 16384受到支持,但它没有说明实际发布密钥将具有哪种强度,这将是其中相当有趣的部分。V3SchemeSigner提示 PKCS1 V1.5 编码格式;但找出答案的唯一方法是通过运行来检查 Play 商店中软件包的公钥ssh-keygen -lf ./rsa_key.pub(这会显示公钥文件的指纹,同时还会显示密钥的强度)。
security.stackexchange.com可能会提供进一步的线索。
| 归档时间: |
|
| 查看次数: |
495 次 |
| 最近记录: |