前言

数据加密在每个 Android 应用程序中都非常重要。您必须有某种方法来保护您的数据、Android 文件、共享首选项以及应用程序中使用的密钥。毫无疑问，即使在应用了一些加密技术之后，您的数据也可以被一些专业人员取回，但您的目标应该是如何通过在您的应用程序中提供一些额外的安全层来使他们更难获取数据。在这篇博客中，我们将学习如何在设备上安全地加密数据，并使用 AndroidKeyStore 在 Android 中存储密钥。那么，让我们开始吧。

Jetpack 安全库

在 Google I/O 19 上，引入了 Jetpack 安全库，它使我们能够轻松地加密数据、文件和共享首选项。它通过在出色的加密和良好的性能之间保持平衡来提供强大的安全性。所以，我们需要做的就是使用 Jetpack 安全库。

但是 Android 操作系统非常安全，我们有一个单独的基于文件的加密系统，那么为什么要使用这个 Android Jetpack 安全库呢？相同的原因有多种，其中一些是：

• 如果我们考虑一个有根的 Android 设备，那么文件系统将被解锁，并且即使您具有全盘加密，某些攻击者也可以轻松访问数据。

• 另一个原因可能是保护您的应用程序中的密钥或令牌，因为您甚至不希望您的用户访问这些密钥。

因此，此 Jetpack 安全库用于磁盘加密，适用于 Android 6.0 或更高版本。你需要做的就是在你的build.gradle文件中添加这个库。

dependencies {
    ...
    implementation 'androidx.security:security-crypto:{latest-version}'
}

密钥管理

我们在 Android 应用程序中使用的密钥必须是安全的。因此，为了保护我们的密钥不被其他人使用，我们在 Android 中有一个叫做 Android Keystore System 的东西。

在 Jetpack Security 中，我们有一个 MasterKeys 类，它允许我们创建私钥（默认情况下，使用 AES256）。基本上，此类提供了在 Android Keystore 中创建和获取主密钥的便捷方法。

val masterKeyAlias = MasterKeys.getOrCreate(MasterKeys.AES256_GCM_SPEC)

在这里，我们使用没有填充的块模式 GCM_SPEC。如果要加密密钥大小的小数据，则不需要任何填充或阻塞。但是当要加密的数据长于密钥的大小时，我们会使用填充和阻塞。

您还有其他可用的选项，例如 setBlockModes()、setEncryptionPaddings、setKeySize()、setUserAuthenticationRequired()、setUnlockedDeviceRequired() 等。您可以在此处查看所有选项。

现在，我们有了密钥，我们可以使用这个密钥来做其他事情，比如我们可以用于文件加密。让我们看看如何。

文件加密

借助 Jetpack 安全库，您可以加密应用程序中的文件。它使用 Streaming AES 来处理各种大小的文件。您需要做的就是创建一个文件，然后将该文件转换为加密文件。获取加密文件后，如果要向加密文件写入一些数据，则可以使用该openFileOutput()方法，如果要从加密文件中读取数据，则可以使用该openFileInput()方法。以下是相同的代码：

val masterKeyAlias = MasterKeys.getOrCreate(MasterKeys.AES256_GCM_SPEC)

val file = File("YOUR_FILE")

val encryptedFile = EncryptedFile.Builder(
    file,
    applicationContext,
    masterKeyAlias,
    EncryptedFile.FileEncryptionScheme.AES256_GCM_HKDF_4KB
).build()

encryptedFile.openFileOutput().use { outputStream ->
    //write data to your encrypted file
}

encryptedFile.openFileInput().use { inputStream ->
    //read file from your encrypted file
}

而已。一切都在后台加密和解密，您无需担心任何事情。

SharedPreferences 加密

我们将数据存储在 SharedPreferences 中是因为它易于使用，同时攻击者也可以轻松地从 SharedPreferences 中获取密钥和值。因此，我们需要加密我们的 SharedPrefernce 数据，这可以在适用于 Android 6.0 或更高版本的 EncryptedSharedPreferences 的帮助下完成。

要使用 EncryptedSharedPreference，只需从 AndroidKeyStore 创建或检索主密钥：

val masterKeyAlias = MasterKeys.getOrCreate(MasterKeys.AES256_GCM_SPEC)

获得主密钥后，现在初始化一个 EncryptedSharedPreferences 实例：

val mySharedPreferences = EncryptedSharedPreferences.create(
    "my_preference_file_name",
    masterKeyAlias,
    applicationContext,
    EncryptedSharedPreferences.PrefKeyEncryptionScheme.AES256_SIV,
    EncryptedSharedPreferences.PrefValueEncryptionScheme.AES256_GCM
)

最后，您可以像往常一样保存数据并从 EncryptedSharedPreferences 中读取数据：

val KEY_DATA = "KEY_DATA"
val dataToSave = "Some Data"

//saving the data
mySharedPreferences.edit()
    .putString(KEY_DATA, dataToSave)
    .apply()

//reading the data
val data = mySharedPreferences.getString(KEY_DATA, "")

结束语

在这篇文章，我们学习了如何在设备上安全地加密数据并使用 AndroidKeyStore。

作者：Admin MindOrks
链接：How to encrypt data safely on device and use the AndroidKeystore?