[英]How safe is storing public key for certificate pinning?
您面临的主要问题是反对什么?
如果您只是一般地说,就像存储公钥一样安全,那么是的。 这就是为什么它被称为公钥。
如果您试图抵御MiTM攻击,例如不受信任的CA签署证书之类的东西,则仅使用证书固定就足够了。 只要证书是您应用程序的一部分,并且基本操作系统对您的应用程序进行签名验证,就应检测到对证书以及对应用程序的扩展所做的任何更改,并且不应允许该应用程序运行。
如果您试图阻止最终用户嗅探HTTPS连接,那么可以,他可以用自己的证书替换证书,并嗅探自己内心的内容。 您可以通过比较证书的哈希值,对证书进行加密等方式来验证证书,但是无法保证用户将无法对应用程序进行反向工程。
公开公钥是安全的。 这是公钥加密背后的主要原理。
如果有人可以篡改您的android应用程序中的公钥,那么他们也可以篡改应用程序的其他部分(例如,完全删除加密或将请求重定向到攻击者)。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.