【学习资料】Android初学者的实用加密工具

     发布时间：2015年07月15日 13:22分    来源：博为峰教育网采编    关键词：Android     | 上一篇 | 下一篇 |

---

      越来越多的黑客盯上了移动应用，每天都会增加，因为移动应用中有黑客感兴趣的东西，如用户数据。硬编码（Hard-coded，注，固定写死，不能修改的）安全秘钥，SD 卡中以明文存放的个人信息，数据库中未加密存储的用户名和密码，收集的分析（analytics）并以明文方式发到远程服务器，这些情况都使得攻击更容易（得手）。

      正确使用Cryptography 工具，能保护我们的敏感数据，确保隐私和数据完整。另一方面,加密难用且容易误用（ cryptography is hard to use and easy to misuse）。 注意容易被破解的加密方式（broken cryptography） (如，使用不安全算法，或硬编码秘钥到二进制包），请查阅列表2014年，移动领域10大风险。因此，从中得到什么教训？不用加密不可取，不能正确加密同样不可取(不提耗费的时间)。

      为了能在安卓平台上开发出安全的应用，接下来我们将介绍如何能既简单又安全地进行加密。首先，概括性地介绍一些常见的可集成到安卓应用中的加密库。加密库是包含诸如加密算法、填充方式和散列函数等工具的加密工具集合。

      Bouncy Castle

      充气城堡军团（Legion of the Bouncy Castle）是一个来自澳大利亚的公益团体，他们编写了Bouncy Castle 这个广泛使用的类库。该库既提供了一个轻量级的密码学 API，也是一个 Java 密码扩展（JCE）的提供者。安卓平台已经内置了一个精简过的老版本 Bouncy Castle（同时为了适配安卓平台也做了一些细小的改动）。结果就是任何在应用程序中构建和使用最新版本 BouncyCastle 类库的尝试都将导致类加载冲突。

      Spongy Castle

      Spongy Castle 背后的动机是允许安卓开发者在应用程序中使用任意版本的 BouncyCastle 类库。SpongyCastle 就是对最新版本的 BouncyCastle 进行了简单地重新打包；所有的 org.bouncycastle.* 包重命名为了 org.spongycastle.*，所有 Java安全 API 提供者的名字由 BC 改为了 SC。

      OpenSSL

      OpenSSL 是一个实现了 SSL 和 TLS 协议以及通用密码库的开源工具包。OpenSSL 已经被移植到了很多平台，包括安卓。做为一个替代方案，你也可以从源码构建（使用安卓 NDK），然后绑定到应用程序中。
      现在我们假设出于应用程序的目的，你想要加密一些数据。你会使用哪个加密算法，AES 还是 DES？你的秘钥多长，128 还是 256 比特？你会使用哪种加密模式，ECB 还是 CBC？如果你对所有这些问题都没有答案，也没有好的理由，那么你可能发现你正处在一个微妙的位置，虽然你拥有所有你想要的工具，但是你一点儿都不确定使 用哪个、如何使用。