那些遇到过的问题

密码加密模式不安全,如何解决?

Abd*_*nan 5 java android firebase-authentication

我正在加密登录密码firebase,它运行良好,但我在 google play 控制台中收到一条警告,your app contains unsafe cryptographic encryption patterns我该如何摆脱它?

我正在 android studio 上尝试。

public static class AESCrypt
{
    private static final String ALGORITHM = "AES";
    private static final String KEY = "1Hbfh667adfDEJ78";

    public static String encrypt(String value) throws Exception
    {
        Key key = generateKey();
        Cipher cipher = Cipher.getInstance(AESCrypt.ALGORITHM);
        cipher.init(Cipher.ENCRYPT_MODE, key);
        byte [] encryptedByteValue = cipher.doFinal(value.getBytes("utf-8"));
        String encryptedValue64 = Base64.encodeToString(encryptedByteValue, Base64.DEFAULT);
        return encryptedValue64;

    }

    public static String decrypt(String value) throws Exception
    {
        Key key = generateKey();
        Cipher cipher = Cipher.getInstance(AESCrypt.ALGORITHM);
        cipher.init(Cipher.DECRYPT_MODE, key);
        byte[] decryptedValue64 = Base64.decode(value, Base64.DEFAULT);
        byte [] decryptedByteValue = cipher.doFinal(decryptedValue64);
        String decryptedValue = new String(decryptedByteValue,"utf-8");
        return decryptedValue;

    }

    private static Key generateKey() throws Exception
    {
        Key key = new SecretKeySpec(AESCrypt.KEY.getBytes(),AESCrypt.ALGORITHM);
        return key;
    }
Run Code Online (Sandbox Code Playgroud)

Bor*_*ris 4

主要问题是您使用没有完整性的密码和硬编码的加密密钥。如果您使用Find Security Bugs分析源代码,您会收到CIPHER_INTEGRITYHARD_CODE_KEY警告:

The cipher does not provide data integrity [com.lloyds.keystorage.AESCrypt] At AESCrypt.java:[line 25] CIPHER_INTEGRITY
The cipher does not provide data integrity [com.lloyds.keystorage.AESCrypt] At AESCrypt.java:[line 15] CIPHER_INTEGRITY
Hard coded cryptographic key found [com.lloyds.keystorage.AESCrypt] At AESCrypt.java:[line 35] HARD_CODE_KEY
Run Code Online (Sandbox Code Playgroud)

解决方案是使用包含基于哈希的消息身份验证代码 (HMAC) 的密码来对数据进行签名:

Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
Run Code Online (Sandbox Code Playgroud)

并将密钥存储在单独的配置文件或密钥库中。

下面是完整重构后的整个类:

The cipher does not provide data integrity [com.lloyds.keystorage.AESCrypt] At AESCrypt.java:[line 25] CIPHER_INTEGRITY
The cipher does not provide data integrity [com.lloyds.keystorage.AESCrypt] At AESCrypt.java:[line 15] CIPHER_INTEGRITY
Hard coded cryptographic key found [com.lloyds.keystorage.AESCrypt] At AESCrypt.java:[line 35] HARD_CODE_KEY
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

6147 次

最近记录:

6 年,4 月 前
“您的应用程序包含不安全的加密模式” - 如何消除此警告? 7
“您的应用程序包含不安全的加密模式” - 如何消除此警告? 7
更多相关链接
相关归档
如何在Android中更改Activity的标题? 217
为什么我不能在接口中声明静态方法? 148
使用Retrofit刷新OAuth令牌而不修改所有调用 141
Java:int数组使用非零元素初始化 130
自定义枚举Serializable也是吗? 56
setVisibility(GONE)视图变为不可见但仍占用空间 53
如何创建"现代化"的Java桌面应用程序? 47
替代singleLine属性(已弃用)TextInputEditText 46
Android平板电脑不信任RapidSSL证书 35
使用 Firebase 进行身份验证,使用 MongoDB 进行数据库 14
难疑归档
为什么减去这两次(在1927年)给出一个奇怪的结果? 6628
ListView中的图像延迟加载 1881
如何在MySQL中使用命令行导入SQL文件? 1836
如何显示PHP错误? 1646
使当前的Git分支成为主分支 1555
在YAML中,如何在多行中断字符串? 1388
我在哪里将'assets'文件夹放在Android Studio中? 1366
适用于PDF文件的MIME媒体类型 1229
将项目导入Eclipse后,"必须覆盖超类方法"错误 1223
如何在psql中切换数据库? 1029