存储公钥以进行证书固定的安全性如何?
[英]How safe is storing public key for certificate pinning?
2 个解决方案
解决方案1
2 2015-04-03 16:05:24
您面临的主要问题是反对什么?
如果您只是一般地说,就像存储公钥一样安全,那么是的。 这就是为什么它被称为公钥。
如果您试图抵御MiTM攻击,例如不受信任的CA签署证书之类的东西,则仅使用证书固定就足够了。 只要证书是您应用程序的一部分,并且基本操作系统对您的应用程序进行签名验证,就应检测到对证书以及对应用程序的扩展所做的任何更改,并且不应允许该应用程序运行。
如果您试图阻止最终用户嗅探HTTPS连接,那么可以,他可以用自己的证书替换证书,并嗅探自己内心的内容。 您可以通过比较证书的哈希值,对证书进行加密等方式来验证证书,但是无法保证用户将无法对应用程序进行反向工程。
解决方案2
0 2016-03-11 14:25:04
公开公钥是安全的。 这是公钥加密背后的主要原理。
如果有人可以篡改您的android应用程序中的公钥,那么他们也可以篡改应用程序的其他部分(例如,完全删除加密或将请求重定向到攻击者)。
用于 Android 的 OkHttp:不强制执行证书/公钥固定的选项
[英]OkHttp for Android: Option to NOT enforce Certificate/ public key pinning
OkHttp3、Retrofit 和证书固定:如何给固定过期
[英]OkHttp3, Retrofit and certificate pinning: how to give an expiration to the pinning
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.