纸飞机:即时通讯安全篇（一）：正确地理解和使用Android端加密算法

　　即时通讯是互联网的重要应用形态之一，安全性一直是开发者需要优先考虑的基础问题，并不是使用了加密就绝对安全了，如果加密函数使用不正确，加密数据很容易受到逆向破解攻击。如何正确地理解和使用加密技术则显得尤其重要。

　　本文主要讨论针对Android这样的移动端应用开发时，如何正确的理解目前常用的加密算法，为诸如即时通讯应用的实战开发，如何在合适的场景下选择适合的算法，提供一些参考。

　　《即时通讯安全篇（一）：正确地理解和使用Android端加密算法》（* 本文）

　　《即时通讯安全篇（七）：用JWT技术解决IM系统Socket长连接的身份认证痛点》

　　《即时通讯安全篇（九）：你知道，HTTPS用的是对称加密还是非对称加密？》

　　《即时通讯安全篇（十）：为什么要用HTTPS？深入浅出，探密短连接的安全性》

　　《即时通讯安全篇（十二）：IM聊天系统安全手段之传输内容端到端加密技术》

　　《即时通讯安全篇（十五）：详解硬编码密码的泄漏风险及其扫描原理和工具》

　　明文、密文、密钥、对称加密算法、非对称加密算法，这些基本概念和加密算法原理就不展开叙述了。

　　Android SDK使用的API和JAVA提供的基本相似，由以下部分组成：

　　JCA提供基本的加密框架，如证书、数字签名、消息摘要和密钥对产生器，对应的Android API中的以下几个包：

　　JCE扩展了JCA，提供了各种加密算法、摘要算法、密钥管理等功能，对应的Android API中的以下几个包：

　　JSSE提供了SSL（基于安全套接层）的加密功能，使用HTTPS加密传输使用，对应的Android API主要是ssl包中。

　　JAAS 提供了在Java平台上进行用户身份鉴别的功能。对应的Android API主要在以下几个包：

　　Base64编码算法是一种用64个字符（ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/）来表示任意二进制数据的方法。在计算机网络发展的早期，由于“历史原因”，电子邮件不支持非ASCII码字符，如果要传送的电子邮件带有非ASCII码字符（诸如中文）或者图片，用户收到的电子邮件将会是一堆乱码，因此发明了Base64编码算法。至于为何会乱码？请大家自行Google。在加解密算法中，原始的数据和加密后的数据一般也是二进制数据，为了不传输出错，方便保存或者调试代码，一般需要对加密后的数据进行base64编码。

　　base64只是一种编码方式，并不是一种加密算法，不要使用base64来加密数据。

　　在Android加密算法中需要随机数时要使用SecureRandom来获取随机数。如：

　　Hash算法是指任意长度的字符串输入，此算法能给出固定n比特的字符串输出，输出的字符串一般称为Hash值。

　　抗碰撞性使Hash算法对原始输入的任意一点更改，都会导致产生不同的Hash值，因此Hash算法可以用来检验数据的完整性。我们经常见到在一些网站下载某个文件时，网站还提供了此文件的hash值，以供我们下载文件后检验文件是否被篡改。 不可逆的特性使Hash算法成为一种单向密码体制，只能加密不能解密，可以用来加密用户的登录密码等凭证。

　　2、不建议使用MD2、MD4、MD5、SHA-1、RIPEMD算法来加密用户密码等敏感信息：

　　这一类算法已经有很多破解办法，例如md5算法，网上有很多查询的字典库，给出md5值，可以查到加密前的数据。

　　实际开发过程中经常会对url的各个参数，做词典排序，然后取参数名和值串接后加上某个SECRET字符串，计算出hash值，作为此URL的签名， 如foo=1, bar=2, baz=3 排序后为bar=2, baz=3, foo=1，做hash的字符串为：SECRETbar2baz3foo1，在参数和值之间没有分隔符，则”foo=bar”和”foob=ar”的hash值是一样的，”foo=bar&fooble=baz”和”foo=barfooblebaz”一样，这样通过精心构造的恶意参数就有可能与正常参数的hash值一样，从而骗过服务器的签名校验。

　　要确保加密的消息不是别人伪造的，需要提供一个消息认证码（MAC，Message authentication code）。 消息认证码是带密钥的hash函数，基于密钥和hash函数。密钥双方事先约定，不能让第三方知道。

　　消息发送者使用MAC算法计算出消息的MAC值，追加到消息后面一起发送给接收者。接收者收到消息后，用相同的MAC算法计算接收到消息MAC值，并与接收到的MAC值对比是否一样。

　　在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。

　　3、注意加密模式不要使用ECB模式。ECB模式不安全，说明问题的经典的三张图片，如下：

　　想更深入的了解关于对CBC加密模式的攻击，可参看：《SSL/TLS协议安全系列：CBC 模式的弱安全性介绍(一)》。

　　4、Android 提供的AES加密算法API默认使用的是ECB模式，所以要显示指定加密算法为：CBC或CFB模式，可带上PKCS5Padding填充。AES密钥长度最少是128位，推荐使用256位。

　　非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密（这个过程可以做数字签名）。

　　1、注意密钥长度不要低于512位，建议使用2048位的密钥长度。 使用RSA进行数字签名的算法，如：

　　PBE是一种基于口令的加密算法，其特点是使用口令代替了密钥，而口令由用户自己掌管，采用随机数杂凑多重加密等方法保证数据的安全性。

　　使用基于口令的加密算法PBE时，生成密钥时要加盐，盐的取值最好来自SecureRandom，并指定迭代次数。 如：

　　- 8、使用初始化向量时IV时，IV为常量的CBC，CFB，GCM等和ECB一样可以重放，即采用上一个消息的最后一块密文作为下一个消息的IV，是不安全的。

　　（1）密钥不能为常量，应随机，定期更换，如果加密数据时使用的密钥为常量，则相同明文加密会得到相同的密文，很难防止字典攻击。

　　而在实际开发中，密钥如何保存始终是绕不过的坎？如果硬编码在代码中容易被逆向，如果放在设备的某个文件，也会被有经验的破解者逆向找到，在这里推荐阿里聚安全的安全组件服务，其中的安全加密功能提供了开发者密钥的安全管理与加密算法实现，保证密钥的安全性，实现安全的加解密操作。（本文已同步发布于：）

　　[9]基于Netty的IM聊天加密技术学习：一文理清常见的加密概念、术语等

　　[19]一套亿级用户的IM架构技术干货(下篇)：可靠性、有序性、弱网优化等

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　已致超290人死亡！印度坠毁客机黑匣子已找到，初步数据显示：飞机在起飞阶段未能正常升空，部分起落系统可能异常！波音股价大跌

　　以军逾200架战机空袭伊朗，投下超330枚弹药，伊朗向以色列发射100多架无人机

　　特朗普紧急开会，美国在中东调兵！伊朗：美参与袭击，正准备回应！伊空军高级军官被骗聚集开会，遭以军打击，司令等多人身亡

　　深圳一河流现大量百元钞票！有人下河捞钱？官方最新回应：散落现金系精神障碍患者叶某发病时丢弃入河道

　　《编码物候》展览开幕 北京时代美术馆以科学艺术解读数字与生物交织的宇宙节律

　　苹果 tvOS 26 暗示新款 Apple TV 4K 将内置摄像头，支持FaceTime

　　Steam 终于有了适用于 Apple Silicon Mac 的原生应用

　　苹果 iOS / macOS 26“密码”App 将支持记录密码更改历史

　　富士康印度产iPhone对美出口占比飙升至97%，3月创13亿美元峰值