默认
打赏 发表评论 11
想开发IM:买成品怕坑?租第3方怕贵?找开源自已撸?尽量别走弯路了... 找站长给点建议
即时通讯安全篇(一):正确地理解和使用Android端加密算法
阅读(162548) | 评论(11 收藏6 淘帖1
微信扫一扫关注!

前言


即时通讯是互联网的重要应用形态之一,安全性一直是开发者需要优先考虑的基础问题,并不是使用了加密就绝对安全了,如果加密函数使用不正确,加密数据很容易受到逆向破解攻击。如何正确地理解和使用加密技术则显的尤其重要。

本文主要讨论针对Android这样的移动端应用开发时,如何正确的理解目前常用的加密算法,为诸如即时通讯应用的实战开发,如何在合适的场景下选择适合的算法,提供一些参考。

IM安全系列文章


本文是IM通讯安全知识系列文章中的第1篇,总目录如下:

密码学基本概念


密码学的三大作用:加密( Encryption)、认证(Authentication),鉴定(Identification) 。

加密:防止坏人获取你的数据。
认证:防止坏人修改了你的数据而你却并没有发现。
鉴权:防止坏人假冒你的身份。

明文、密文、密钥、对称加密算法、非对称加密算法,这些基本概念和加密算法原理就不展开叙述了。

Android SDK提供的API


Android SDK使用的API和JAVA提供的基本相似,由以下部分组成:

  • Java Cryptography Architecture:JCA,java加密体系结构;
  • Java Cryptography Extension:JCE,Java加密扩展包);
  • Java Secure Sockets Extension:JSSE,Java安全套接字扩展包;
  • Java Authentication and Authentication Service:JAAS,Java 鉴别与安全服务。

JCA提供基本的加密框架,如证书、数字签名、消息摘要和密钥对产生器,对应的Android API中的以下几个包:

即时通讯安全篇(一):正确地理解和使用Android端加密算法_TB1z7peMXXXXXcuaXXXXXXXXXXX.jpg

JCE扩展了JCA,提供了各种加密算法、摘要算法、密钥管理等功能,对应的Android API中的以下几个包:

即时通讯安全篇(一):正确地理解和使用Android端加密算法_TB1jMRjMXXXXXbaaXXXXXXXXXXX.JPG

JSSE提供了SSL(基于安全套接层)的加密功能,使用HTTPS加密传输使用,对应的Android API主要是java.net.ssl包中。

JAAS 提供了在Java平台上进行用户身份鉴别的功能。对应的Android API主要在以下几个包:

即时通讯安全篇(一):正确地理解和使用Android端加密算法_TB1GAhbMXXXXXcEapXXXXXXXXXX.JPG

它们其实只是一组接口,实际的算法是可由不同的Provider提供,Android API默认的Provider主要是是Bouncy Castle和OpenSSL。 此外Android API还提供了android.security和android.security.keystore(API 23新增)来管理keychain和keystore。


常用算法之:Base64编码


Base64编码算法是一种用64个字符(ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/)来表示任意二进制数据的方法。在计算机网络发展的早期,由于“历史原因”,电子邮件不支持非ASCII码字符,如果要传送的电子邮件带有非ASCII码字符(诸如中文)或者图片,用户收到的电子邮件将会是一堆乱码,因此发明了Base64编码算法。至于为何会乱码?请大家自行Google。在加解密算法中,原始的数据和加密后的数据一般也是二进制数据,为了不传输出错,方便保存或者调试代码,一般需要对加密后的数据进行base64编码。

Android提供了Base64编码的工具类android.util.Base64,可以直接使用,不用自己去实现base64编码的算法了。如:

即时通讯安全篇(一):正确地理解和使用Android端加密算法_TB1gOc_LVXXXXaNapXXXXXXXXXX.JPG

【开发者建议】:
base64只是一种编码方式,并不是一种加密算法,不要使用base64来加密数据。

常用算法之:随机数生成器


在Android加密算法中需要随机数时要使用SecureRandom来获取随机数。 如:

即时通讯安全篇(一):正确地理解和使用Android端加密算法_TB1GkFDMXXXXXc6XXXXXXXXXXXX.JPG

注意不要给SecureRandom设置种子。调用seeded constructor或者setSeed(byte[])是不安全的。SecureRandom()默认使用的是dev/urandom作为种子产生器,这个种子是不可预测的。

【开发者建议】:

  • 不要使用Random类来获取随机数。
  • 在使用SecureRandom时候,不要设置种子。使用以下函数设置种子都是有风险的:
    即时通讯安全篇(一):正确地理解和使用Android端加密算法_TB18rFCMXXXXXX7XpXXXXXXXXXX.JPG

常用算法之:Hash算法


Hash算法是指任意长度的字符串输入,此算法能给出固定n比特的字符串输出,输出的字符串一般称为Hash值。

具有以下两个特点:

  • 抗碰撞性:寻找两个不同输入得到相同的输出值在计算上是不可行的,需要大约  的时间去寻找到具有相同输出的两个输入字符串。
  • 不可逆:不可从结果推导出它的初始状态。

抗碰撞性使Hash算法对原始输入的任意一点更改,都会导致产生不同的Hash值,因此Hash算法可以用来检验数据的完整性。我们经常见到在一些网站下载某个文件时,网站还提供了此文件的hash值,以供我们下载文件后检验文件是否被篡改。 不可逆的特性使Hash算法成为一种单向密码体制,只能加密不能解密,可以用来加密用户的登录密码等凭证。

【开发者建议】:

1、建议使用SHA-256、SHA-3算法:
如使用SHA-256算法对message字符串做哈希:
即时通讯安全篇(一):正确地理解和使用Android端加密算法_1.JPG

2、不建议使用MD2、MD4、MD5、SHA-1、RIPEMD算法来加密用户密码等敏感信息:
这一类算法已经有很多破解办法,例如md5算法,网上有很多查询的字典库,给出md5值,可以查到加密前的数据。
即时通讯安全篇(一):正确地理解和使用Android端加密算法_2.JPG

3、不要使用哈希函数做为对称加密算法的签名。

4、注意:当多个字符串串接后再做hash,要非常当心:
如:字符串S,字符串T,串接做hash,记为 H (S||T)。但是有可能发生以下情况。如“builtin||securely” 和 “built||insecurely”的hash值是完全一样的。 如何修改从而避免上述问题产生? 改为H(length(S) || S || T)或者 H(H(S)||H(T))或者H(H(S)||T)。

实际开发过程中经常会对url的各个参数,做词典排序,然后取参数名和值串接后加上某个SECRET字符串,计算出hash值,作为此URL的签名, 如foo=1, bar=2, baz=3 排序后为bar=2, baz=3, foo=1,做hash的字符串为:SECRETbar2baz3foo1,在参数和值之间没有分隔符,则”foo=bar”和”foob=ar”的hash值是一样的,”foo=bar&fooble=baz”和”foo=barfooblebaz”一样,这样通过精心构造的恶意参数就有可能与正常参数的hash值一样,从而骗过服务器的签名校验。

消息认证算法


要确保加密的消息不是别人伪造的,需要提供一个消息认证码(MAC,Message authentication code)。 消息认证码是带密钥的hash函数,基于密钥和hash函数。密钥双方事先约定,不能让第三方知道。

消息发送者使用MAC算法计算出消息的MAC值,追加到消息后面一起发送给接收者。接收者收到消息后,用相同的MAC算法计算接收到消息MAC值,并与接收到的MAC值对比是否一样。

【开发者建议】:
建议使用HMAC-SHA256算法,避免使用CBC-MAC。 HMAC-SHA256例子如下:

即时通讯安全篇(一):正确地理解和使用Android端加密算法_3.JPG

对称加密算法


在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
该算法的缺点是,如果一旦密钥泄漏,那么加密的内容将都不可信了。

【开发者建议】:

1、建议使用AES算法。
2、DES默认的是56位的加密密钥,已经不安全,不建议使用。
3、注意加密模式不要使用ECB模式。ECB模式不安全,说明问题的经典的三张图片,如下:
明文是:
即时通讯安全篇(一):正确地理解和使用Android端加密算法_4.png

用ECB加密模式后:
即时通讯安全篇(一):正确地理解和使用Android端加密算法_5.png

用CBC加密模式后:
即时通讯安全篇(一):正确地理解和使用Android端加密算法_6.png

想更深入的了解关于对CBC加密模式的攻击,可参看:《SSL/TLS协议安全系列:CBC 模式的弱安全性介绍(一)》。

4、Android 提供的AES加密算法API默认使用的是ECB模式,所以要显式指定加密算法为:CBC或CFB模式,可带上PKCS5Padding填充。AES密钥长度最少是128位,推荐使用256位。
即时通讯安全篇(一):正确地理解和使用Android端加密算法_7.JPG

非对称加密


非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密(这个过程可以做数字签名)。
非对称加密主要使用的是RSA算法。

开发者建议:

1、注意密钥长度不要低于512位,建议使用2048位的密钥长度。 使用RSA进行数字签名的算法,如:
即时通讯安全篇(一):正确地理解和使用Android端加密算法_8.JPG

2、使用RSA算法做加密,RSA加密算法应使用Cipher.getInstance(RSA/ECB/OAEPWithSHA256AndMGF1Padding),否则会存在重放攻击的风险。 如:
即时通讯安全篇(一):正确地理解和使用Android端加密算法_9.JPG

加密算法PBE


PBE是一种基于口令的加密算法,其特点是使用口令代替了密钥,而口令由用户自己掌管,采用随机数杂凑多重加密等方法保证数据的安全性。

开发者建议:
使用基于口令的加密算法PBE时,生成密钥时要加盐,盐的取值最好来自SecureRandom,并指定迭代次数。 如:
即时通讯安全篇(一):正确地理解和使用Android端加密算法_10.JPG

小结


几条原则:

- 1、不要自己设计加密算法和协议,使用业界标准的算法。
- 2、对称加密算法不要使用ECB模式,不建议使用DES算法。
- 3、要选择合适长度的密钥。
- 4、要确保随机数生成器的种子具有足够的信息熵。
- 5、不要使用没有消息认证的加密算法加密消息,无法防重放。
- 6、当多个字符串拼接后做hash,要非常当心。
- 7、当给算法加yan盐取值时不要太短,不要重复。
- 8、使用初始化向量时IV时,IV为常量的CBC,CFB,GCM等和ECB一样可以重放,即采用上一个消息的最后一块密文作为下一个消息的IV,是不安全的。
- 9、密钥应遵循的原则 :
(1)密钥不能为常量,应随机,定期更换,如果加密数据时使用的密钥为常量,则相同明文加密会得到相同的密文,很难防止字典攻击。
(2)开发同学要防范密钥硬编码的毛病。

而在实际开发中,密钥如何保存始终是绕不过的坎?如果硬编码在代码中容易被逆向,如果放在设备的某个文件,也会被有经验的破解者逆向找到,在这里推荐阿里聚安全的安全组件服务,其中的安全加密功能提供了开发者密钥的安全管理与加密算法实现,保证密钥的安全性,实现安全的加解密操作。

全站即时通讯技术资料分类


[1] 网络编程基础资料:
TCP/IP详解 - 第11章·UDP:用户数据报协议
TCP/IP详解 - 第17章·TCP:传输控制协议
TCP/IP详解 - 第18章·TCP连接的建立与终止
TCP/IP详解 - 第21章·TCP的超时与重传
理论经典:TCP协议的3次握手与4次挥手过程详解
理论联系实际:Wireshark抓包分析TCP 3次握手、4次挥手过程
计算机网络通讯协议关系图(中文珍藏版)
NAT详解:基本原理、穿越技术(P2P打洞)、端口老化等
UDP中一个包的大小最大能多大?
Java新一代网络编程模型AIO原理及Linux系统AIO介绍
NIO框架入门(三):iOS与MINA2、Netty4的跨平台UDP双向通信实战
NIO框架入门(四):Android与MINA2、Netty4的跨平台UDP双向通信实战
>> 更多同类文章 ……

[2] 有关IM/推送的通信格式、协议的选择:
为什么QQ用的是UDP协议而不是TCP协议?
移动端即时通讯协议选择:UDP还是TCP?
如何选择即时通讯应用的数据传输格式
强列建议将Protobuf作为你的即时通讯应用数据传输格式
移动端IM开发需要面对的技术问题(含通信协议选择)
简述移动端IM开发的那些坑:架构设计、通信协议和客户端
理论联系实际:一套典型的IM通信协议设计详解
58到家实时消息系统的协议设计等技术实践分享
>> 更多同类文章 ……

[3] 有关IM/推送的心跳保活处理:
Android进程保活详解:一篇文章解决你的所有疑问
Android端消息推送总结:实现原理、心跳保活、遇到的问题等
为何基于TCP协议的移动端IM仍然需要心跳保活机制?
微信团队原创分享:Android版微信后台保活实战分享(进程保活篇)
微信团队原创分享:Android版微信后台保活实战分享(网络保活篇)
移动端IM实践:实现Android版微信的智能心跳机制
移动端IM实践:WhatsApp、Line、微信的心跳策略分析
>> 更多同类文章 ……

[4] 有关WEB端即时通讯开发:
新手入门贴:史上最全Web端即时通讯技术原理详解
Web端即时通讯技术盘点:短轮询、Comet、Websocket、SSE
SSE技术详解:一种全新的HTML5服务器推送事件技术
Comet技术详解:基于HTTP长连接的Web端实时通信技术
WebSocket详解(一):初步认识WebSocket技术
socket.io实现消息推送的一点实践及思路
>> 更多同类文章 ……

[5] 有关IM架构设计:
浅谈IM系统的架构设计
简述移动端IM开发的那些坑:架构设计、通信协议和客户端
一套原创分布式即时通讯(IM)系统理论架构方案
从零到卓越:京东客服即时通讯系统的技术架构演进历程
蘑菇街即时通讯/IM服务器开发之架构选择
腾讯QQ1.4亿在线用户的技术挑战和架构演进之路PPT
微信技术总监谈架构:微信之道——大道至简(演讲全文)
如何解读《微信技术总监谈架构:微信之道——大道至简》
快速裂变:见证微信强大后台架构从0到1的演进历程(一)
17年的实践:腾讯海量产品的技术方法论
>> 更多同类文章 ……

[6] 有关IM安全的文章:
即时通讯安全篇(一):正确地理解和使用Android端加密算法
即时通讯安全篇(二):探讨组合加密算法在IM中的应用
即时通讯安全篇(三):常用加解密算法与通讯安全讲解
即时通讯安全篇(四):实例分析Android中密钥硬编码的风险
传输层安全协议SSL/TLS的Java平台实现简介和Demo演示
理论联系实际:一套典型的IM通信协议设计详解(含安全层设计)
微信新一代通信安全解决方案:基于TLS1.3的MMTLS详解
来自阿里OpenIM:打造安全可靠即时通讯服务的技术实践分享
简述实时音视频聊天中端到端加密(E2EE)的工作原理
移动端安全通信的利器——端到端加密(E2EE)技术详解
Web端即时通讯安全:跨站点WebSocket劫持漏洞详解(含示例代码)
通俗易懂:一篇掌握即时通讯的消息传输安全原理
IM开发基础知识补课(四):正确理解HTTP短连接中的Cookie、Session和Token
快速读懂量子通信、量子加密技术
即时通讯安全篇(七):如果这样来理解HTTPS原理,一篇就够了
一分钟理解 HTTPS 到底解决了什么问题
一篇读懂HTTPS:加密原理、安全逻辑、数字证书等
>> 更多同类文章 ……

[7] 有关实时音视频开发:
即时通讯音视频开发(一):视频编解码之理论概述
即时通讯音视频开发(二):视频编解码之数字视频介绍
即时通讯音视频开发(三):视频编解码之编码基础
即时通讯音视频开发(四):视频编解码之预测技术介绍
即时通讯音视频开发(五):认识主流视频编码技术H.264
即时通讯音视频开发(六):如何开始音频编解码技术的学习
即时通讯音视频开发(七):音频基础及编码原理入门
即时通讯音视频开发(八):常见的实时语音通讯编码标准
即时通讯音视频开发(九):实时语音通讯的回音及回音消除概述
即时通讯音视频开发(十):实时语音通讯的回音消除技术详解
即时通讯音视频开发(十一):实时语音通讯丢包补偿技术详解
即时通讯音视频开发(十二):多人实时音视频聊天架构探讨
即时通讯音视频开发(十三):实时视频编码H.264的特点与优势
即时通讯音视频开发(十四):实时音视频数据传输协议介绍
即时通讯音视频开发(十五):聊聊P2P与实时音视频的应用情况
即时通讯音视频开发(十六):移动端实时音视频开发的几个建议
即时通讯音视频开发(十七):视频编码H.264、V8的前世今生
简述开源实时音视频技术WebRTC的优缺点
良心分享:WebRTC 零基础开发者教程(中文)
>> 更多同类文章 ……

[8] IM开发综合文章:
移动端IM开发需要面对的技术问题
开发IM是自己设计协议用字节流好还是字符流好?
请问有人知道语音留言聊天的主流实现方式吗?
IM系统中如何保证消息的可靠投递(即QoS机制)
谈谈移动端 IM 开发中登录请求的优化
完全自已开发的IM该如何设计“失败重试”机制?
微信对网络影响的技术试验及分析(论文全文)
即时通讯系统的原理、技术和应用(技术论文)
开源IM工程“蘑菇街TeamTalk”的现状:一场有始无终的开源秀
>> 更多同类文章 ……

[9] 开源移动端IM技术框架资料:
开源移动端IM技术框架MobileIMSDK:快速入门
开源移动端IM技术框架MobileIMSDK:常见问题解答
开源移动端IM技术框架MobileIMSDK:压力测试报告
开源移动端IM技术框架MobileIMSDK:Android版Demo使用帮助
开源移动端IM技术框架MobileIMSDK:Java版Demo使用帮助
开源移动端IM技术框架MobileIMSDK:iOS版Demo使用帮助
开源移动端IM技术框架MobileIMSDK:Android客户端开发指南
开源移动端IM技术框架MobileIMSDK:Java客户端开发指南
开源移动端IM技术框架MobileIMSDK:iOS客户端开发指南
开源移动端IM技术框架MobileIMSDK:Server端开发指南
>> 更多同类文章 ……

[10] 有关推送技术的文章:
iOS的推送服务APNs详解:设计思路、技术原理及缺陷等
Android端消息推送总结:实现原理、心跳保活、遇到的问题等
扫盲贴:认识MQTT通信协议
一个基于MQTT通信协议的完整Android推送Demo
求教android消息推送:GCM、XMPP、MQTT三种方案的优劣
移动端实时消息推送技术浅析
扫盲贴:浅谈iOS和Android后台实时消息推送的原理和区别
绝对干货:基于Netty实现海量接入的推送服务技术要点
移动端IM实践:谷歌消息推送服务(GCM)研究(来自微信)
为何微信、QQ这样的IM工具不使用GCM服务推送消息?
>> 更多同类文章 ……

[11] 更多即时通讯技术好文分类:
http://www.52im.net/forum.php?mod=collection&op=all

(原文链接:http://jaq.alibaba.com/community/art/show?articleid=209

即时通讯网 - 即时通讯开发者社区! 来源: - 即时通讯开发者社区!

上一篇:来自阿里OpenIM:打造安全可靠即时通讯服务的技术实践分享下一篇:即时通讯安全篇(二):探讨组合加密算法在IM中的应用

本帖已收录至以下技术专辑

推荐方案
评论 11
一般的中小应用对这一块都不是特别重视,原因不是不了解,而是有点麻木,因为没有被攻击的理由,久而久之,也就感觉可有可无。但并不意味着安全性不重要。
签名: 国庆长假还没有缓过来,请让我静一静,产品狗死远点...
引用:IMDeveloper 发表于 2016-04-11 13:54
一般的中小应用对这一块都不是特别重视,原因不是不了解,而是有点麻木,因为没有被攻击的理由,久而久之, ...

系统的安全性就像内裤,没有的话就像没穿内裤一样,心里总不踏实。
这篇文章写的还是很系统,但从单个算法上说,开发者建议还是非常有道理的。
非常棒 ,学习了
学习了
学习了。
签名: 哎 心塞啊
接触加密算法有段时间了,继续学习中...
学习了  
学习了
不错不粗
受益匪浅
学习了
签名: read the fucking source code
打赏楼主 ×
使用微信打赏! 使用支付宝打赏!

返回顶部