менеджер ключей андроид что это
Android Keystore: что это, для чего нужен, как создать ключ
Конфиденциальность в приложении – пункт №1, которому разработчик должен уделить особое внимание. Самый распространенный способ защиты информации – шифрование данных. К нему относятся криптографические символы, симметрия и асимметрия шифра, сертификаты. Keystore – основной ресурс, где можно создать ключ безопасности. Об этом и поговорим ниже.
Кратко о Keystore
Keystore – это хранилище секретной информации, которое применяется Java-прогами с целью зашифровать данные, аутентифицировать и установить HTTPS соединение. Например, для аутентификации пользователя и сервера, между которыми установлен SSL, требуется ключ приватности и сертификат.
Для односторонней аутентификации кейстор применяется только на серверной части. При двусторонней происходит сертификатный обмен (т.е. у обоих сторон есть ключ приватности). Иными словами, кейстор необходим для того, чтобы быстро идентифицировать обладателя ключа.
Java «распознает» такие способы хранения данных в кейстор:
Записи в кейсторе именуются уникальными подписями. В стандартной версии Keystore ключи защищены паролем. Более того, целое хранилище можно защищать паролем. Доверенные сертификаты для ПО Android распределяются в директории Jre-Lib-Security-Cacerts (запароленные под «changeit»).
Как пользоваться KeyStore
Данные в хранилище делятся на 2 группы: ключевые записи (private и public) и доверенные сертификаты. Ключевые записи используются для криптографического шифрования, содержат идентифицированную информацию о клиенте. Доверенные сертификаты не используются тогда, когда требуется key закрытого типа.
Для отделения ключевых записей от сертификатов используются разные хранилища: для персональных ключей и доверенных (включая СЦА). Таким образом, обеспечивается повышенная защита данных.
Принципы создания сертификата
Используйте команду «-genkey» и укажите период действия сертификата («-validity»). Далее создается пара RSA-ключей, действие которых будет длиться 12 месяцев с момента реализации. Закрытые ключи защищаются в хранилище паролем, а открытые «конвертируются» в самодподписывающийся» сертификат.
Если вы не обнаружили искомый ключ в хранилище, его можно создать с помощью кейтула. При использовании данного инструмента система запросит ввести пароль от хранилища и закрытого ключа. Формат создаваемого сертификата – Х.509. Параметры указывайте в виде командной опции. Задавайте информацию о компании, способе размещения в хранилище, сроке действия сертификата.
Принципы создания ключа
Чтобы создать ключ, используйте команду «-genkeypair». Она автоматически клонирует ключ под названием «keypair» и перемещает элементы в хранилище. Открытые ключи «охватываются» форматом Х.509 – т.е. самоподписным сертификатом. Чтобы увидеть список ключей и сертификатов, хранимых в кейсторе, введите команду «-list», после чего укажите путь к информации.
Для чего нужен менеджер паролей для Андроид
Большинство из нас думает, что наши мобильные телефоны довольно безопасны и не нужно беспокоиться о таких вещах, как антивирус или пароли. На самом деле это не так!Особенно, когда на нем хранятся многие наши личные данные.
Менеджеры паролей — это лучший способы обеспечения безопасности наших устройств, а также множество других преимуществ.
В конечном итоге каждый код, который вы когда-либо создавали, должен быть уникальным. У вас должен быть другой код для электронной почты, чем у вашей учетной записи например Facebook. Это должно отличаться от вашего Instagram пароля, что, в свою очередь, должно быть далеко от вашего входа в онлайн-банковский счет. 
Менеджеры не только хранят всю эту информацию, но и создают безопасный, абсолютно случайный для каждой учетной записи и автоматически сохраняют их. Это означает, что вам нужен только один мастер-пароль для вашего менеджера паролей и все будет храниться там для вас, далеко от вашего браузера. Это гораздо более безопасно, особенно если вы играете в игры через сеть через мобильные устройства (они являются очагами для хакеров).
Менеджер паролей, создаёт длинные строки и ваши учётные записи становятся гораздо менее восприимчивыми к атакам, особенно когда каждый из созданных кодов будет уникальным.
В магазине Google Play имеется широкий спектр менеджеров паролей, предлагающих такие функции, как LastPass, mSecure и TotalAV среди наиболее популярных. Есть много обзоров в интернете которые рассматривают все их функции, причем последний является полноценным антивирусным программным обеспечением, а также Password Manager.
Ключи, учетные данные и хранилище на Android
Russian (Pусский) translation by Ellen Nelson (you can also view the original English article)
В предыдущем материале о безопасности пользовательских данных Android мы рассмотрели шифрование данных с помощью предоставленного пользователем кода. В этом уроке перейдём к хранению учётных данных и ключей. Я начну с ознакомления с учётными данными и закончу примером защиты данных с помощью хранилища ключей KeyStore.
Часто, при работе со сторонней службой, требуется какая-то форма авторизации. Она может быть настолько простой, как /login на стороне пользователя, которая принимает имя пользователя и пароль.
Сначала может показаться, что простое решение — это собрать UI, который будет предлагать пользователю войти в систему, а затем записать и сохранить их данные для входа. Однако, это не лучший метод, так как нашему приложению не нужно знать данные для входа в сторонний аккаунт. Вместо этого, мы можем использовать Диспетчер учётных записей (Account Manager), который уполномочен отрабатывать эту конфиденциальную информацию для нас.
Диспетчер учётных записей
Диспетчер учётных записей (Account Manager) — это централизованный помощник для работы с учётными данными пользователя, поэтому вашему приложению, иметь дело с паролями напрямую не нужно. Часто он предоставляет токен вместо реального имени пользователя и пароля, который можно использовать для выполнения аутентифицированных запросов к службе. Например, при запросе токена OAuth2.
Иногда, вся необходимая информация уже хранится на устройстве, а иногда Account Manager придётся обращаться к серверу за новым токеном. Вы, наверное, видели раздел Учётные записи в Настройках вашего устройства для разных приложений. И вот как, мы можем получить список доступных учётных записей:
Так как, у каждой службы будет свой способ проверки подлинности и хранения личных учётных данных, Диспетчер учётных записей предоставляет модули проверки подлинности для реализации сторонней службой. Хотя Android может выполнять вход на многие популярные сервисы, для вашего приложения, вы можете написать свой собственный обработчик авторизации учётной записи и хранилища учётных данных. Это позволит убедиться, что учётные данные зашифрованы. Имейте также в виду, что учётные данные в Диспетчере учётных записей, которые используются другими службами, могут храниться в виде открытого текста, что делает их видимыми для любого, кто имеет рут-права на своё устройство.
Временами вам нужно будет иметь дело с ключами или сертификатами для отдельного лица или сущности, вместо просто данных для входа. Например, когда стороннее приложение отправляет вам файл сертификата, который вам нужно сохранить. Самый распространённый сценарий — это когда приложению нужно авторизироваться на сервере частной организации.
В следующем уроке, мы рассмотрим использование сертификатов для аутентификации и безопасной связи, ну а пока, я всё же хочу рассмотреть, как хранить эти элементы. Изначально Keychain API был создан для очень конкретного использования — установка закрытого ключа или пары сертификатов из файла PKCS#12.
Keychain — связка ключей
Представленный в Android 4.0 (API Level 14), Keychain API управлял ключами. В частности, это работает с объектами PrivateKey и X509Certificate и обеспечивает более безопасный контейнер, чем использование хранилища данных вашего приложения. Связано это с тем, что разрешения закрытых ключей открывают доступ к ключам только вашему приложению и только после авторизации пользователя. Это означает, что, прежде чем, вы сможете использовать хранилище учётных данных, на устройстве должен быть настроен экран блокировки. Кроме того, объекты в связке ключей можно объединить с защитой от оборудования, если доступно.
Код установки сертификата выглядит следующим образом:
Пользователю будет предложено ввести пароль для доступа к закрытому ключу и указать имя сертификата. Для получения ключа, в следующем коде представлен пользовательский интерфейс, который позволяет пользователю выбирать ключ из списка установленных ключей.
Вооружившись этими знаниями, теперь давайте посмотрим, как мы можем использовать хранилище учётных данных для сохранения конфиденциальных данных.
KeyStore
В предыдущем уроке, мы рассмотрели защиту данных с помощью предоставляемого пользователем пароля. Такой вариант хорош, но требования к приложениям часто уводят от того, чтобы пользователи каждый раз входили в систему и запоминали дополнительный пароль.
Вот где можно использовать KeyStore API. Начиная с API 1, KeyStore используется системой для хранения учётных данных WiFi и VPN. Начиная с 4.3 (API 18), вы можете работать с асимметричными ключами конкретного приложения, а в Android M (API 23) можно хранить симметричный ключ AES. Таким образом, хотя API не позволяет хранить конфиденциальные строки напрямую, эти ключи можно сохранить, а затем использовать для шифрования строк.
Преимущество хранения ключа в хранилище ключей заключается в том, что он позволяет работать с ключами без раскрытия секретного содержимого этого ключа; данным ключа не место в приложении. Помните, что ключи защищаются разрешениями, так что только ваше приложение может получить к ним доступ, и они могут быть дополнительно защищены аппаратным обеспечением, если устройство поддерживает это. Создаётся контейнер, который усложняет извлечение ключей с устройства.
Генерирование нового случайного ключа
Поскольку хранение незащищённого ключа вместе с зашифрованными данными, это как прятать ключ от дома под половик, эти параметры пытаются защитить ключ в состоянии покоя в случае взлома устройства. Примером может служить автономный дамп данных устройства. Если пароль устройства не известен, эти данные, по сути, бесполезны.
Шифрование данных
Расшифровка в массив байтов
Смотрим на примере
Теперь мы можем посмотреть на пример!
Использование асимметричных ключей RSA для старых устройств
Это хорошее решение для хранения данных в версии M и выше, но что, если ваше приложение поддерживает более ранние версии? Хотя симметричные ключи AES не поддерживаются в M, поддерживаются асимметричные ключи RSA. Это означает, что для достижения того же результата, мы можем использовать RSA ключи и шифрование.
Чтобы получить ключ, сделайте вот так:
Довольно много кода! Для простоты примеров, я пропустил обработку исключений. Но помните, что для итогового кода не рекомендуется просто перехватывать все случаи Throwable в одном операторе catch.
Заключение
На этом урок по работе с учётными данными и ключами завершён. Большая часть неразберихи вокруг ключей и хранилища связана с эволюцией ОС Android, но вы можете выбрать, какое решение использовать, учитывая уровень API, поддерживаемый вашим приложением.
Теперь, когда мы рассмотрели лучшие примеры защиты данных в состоянии покоя, следующий урок будет сосредоточен на защите данных при передаче.
Путеводитель по менеджерам паролей для Android, часть 1
Выбирая тот или иной способ хранения конфиденциальной информации, приходится идти на компромисс. Полагаясь на собственную память, мы выбираем простые, хорошо запоминающиеся варианты паролей, логинов и т. п. Материальная фиксация (скажем, записи в блокноте) еще менее надежна, дополнительную аргументацию можно даже не приводить.
Мобильное устройство — также не панацея. Но во-первых, телефон всегда под рукой, в отличие от настольных программных решений. Во-вторых, надежно защитить данные на телефоне «малой кровью» все-таки можно.
Среди наиболее популярных приложений для Android верхние позиции занимают менеджеры паролей, и в этой категории выбор на удивление широк. Данный путеводитель затрагивает, в основном, известные и хорошо зарекомендовавшие себя решения. Задача — выяснить, насколько удобно использовать менеджеры паролей, какие средства для защиты информации предлагают разработчики в каждом из случаев.
mySecret
Приложение mySecret позволяет хранить имена пользователей, пароли и заметки в зашифрованной базе данных. При создании базы за ней закрепляется мастер-пароль.
Опционально, база данных может быть синхронизирована онлайн с Dropbox или посредством HTTP-сервера. Также предусмотрен локальный доступ: база хранится в памяти телефона, ее можно синхронизировать вручную, удалить или восстановить из файла. Для дополнительной защиты содержимого используются сертификаты.
В mySecret задействован простой формат хранения информации. Содержимое ячейки состоит из записи (наименования), логина, пароля, URL, заметки. В поиске участвуют все эти данные, в любой момент можно быстро найти интересующие сведения. Однако следует иметь в виду, что некоторые традиционные удобства в mySecret недоступны. Например, нельзя закрепить запись за категорией или группой, назначить дополнительные поля.
Очень мало внимания уделено безопасности. В ряде случаев не помешала бы перестраховка в виде дополнительных мер. Например, при удалении базы данных не запрашивается пароль, нет быстрой блокировки и т п. моменты, о которых в обзоре будет сказано.
Резюме. mySecret поддерживает онлайн-синхронизацию, автономную работу, хранение паролей с поддержкой сертификатов. Слабые стороны — слишком простая организация паролей, невозможность гибкой настройки, неясная ситуация с безопасностью (как минимум, не указана технология шифрования).
Keepass2Android
Keepass2Android — бесплатный менеджер паролей, который позволяет записывать конфиденциальные данные в *.kdbx файл. Этот формат поддерживается настольными версиями KeePass и, таким образом, доступен для широкого перечня ОС.
KeePass позволяет работать с несколькими базами данных, хранящимися в памяти телефона. Информация шифруется по алгоритму AES (Rijdael) 256 бит с заданным количеством подходов шифрования. Дополнительно может использоваться файл ключей. Безусловно, база защищается мастер-паролем, для ускорения доступа можно активировать опцию QuickUnlock — разблокировку с использованием трех последних символов пароля.
Запись включает в себя стандартные поля (пароль, имя пользователя, адрес сайта, комментарий). Кроме этого, можно присвоить ассоциативную иконку, добавить дополнительные поля, теги, вложение, указать срок годности пароля. Разрешается не только добавление записей, но и их группировка. Это весьма удобно, но практичней было бы ассоциировать группы с определенным набором полей, тем самым ускорив добавление новых записей.
Расширенный поиск позволяет включать любые поля и данные. Обычный поиск в KeePass осуществляется не по мере набора, а после нажатия на кнопку подтверждения (также можно было оптимизировать это действие).
В наличии дополнительные опции безопасности: очистка буфера обмена, блокировка базы, быстрая разблокировка, настройка паролей, управление операциями, обработкой файлов.
Keepass2Android поддерживает синхронизацию базы с облачными сервисами Dropbox, Google Drive, SkyDrive, а также по протоколам FTP и WebDAV. Существует локальная — менее популярная — версия KeePass — Keepass2Android Offline. Она может быть интересна, пожалуй, только пользователям, которым не требуется постоянная синхронизация с другими платформами. Экспорт в ней поддерживается, наравне с альтернативной версией приложения.
Резюме. Keepass2Android представляет собой функциональное решение с удобной организацией паролей и другой секретной информации. Из особенностей — группы и расширенный поиск, синхронизация с настольными платформами и онлайн-сервисами.
Safe in Cloud
Safe in Cloud — менеджер паролей с возможностью онлайн-синхронизации зашифрованной базы (поддерживаются хранилища Google Drive, Dropbox и SkyDrive). Несмотря на единственную базу данных, доступ к сервису возможен на других платформах: (iOS, Windows). Также существуют расширения для браузеров Chrome и Firefox.
В Safe in Cloud можно импортировать старые пароли, заявлено более 80 поддерживаемых приложений (по запросу, можно добавить и другие варианты). Доступен экспорт записей, форматы вывода — TXT, CSV и XML. Из других операций, производимых с базой, — резервное копирование / восстановление данных на карту памяти.
Пользовательские данные хранятся в виде карт, заметок и шаблонов. Карты — это записи с конфиденциальной информацией, создаваемые на основе шаблонов. Шаблоны представляют собой определенный набор полей (к примеру, кредитные карты, паспорта, электронная почта, веб-аккаунты). Наконец, заметки — это простые текстовые записи.
Для упорядочивания записей используются теги, из боковой панели можно быстро перейти к нужной категории. Навигация дополняется удобным поиском: он изначально производится по всем полям и работает по мере ввода.
Данные в Safe in Cloud зашифрованы (как на телефоне, так и в облачном хранилище), используется стандартное 256-битное шифрование Advanced Encryption Standard. Предусмотрен мастер-пароль, он вводится каждый раз при начале или возобновлении активности в приложении.
Резюме. Нареканий к приложению Safe in Cloud нет. Наиболее сильные стороны — удобный интерфейс, продуманная навигация плюс категоризация и поиск, широкие возможности импорта и экспорта, кроссплатформенность, синхронизация.
Pocket (не путать с одноименным сервисом для отложенного чтения) — записная книжка для удобного хранения информации, в том числе конфиденциальной.
Дизайн Pocket отличается от других приложений меньшей строгостью: выпуклые кнопки, цветной фон, множество иконок. Это дополнительный «плюс», хотя, по отзывам, есть и приверженцы консервативного стиля.
Аналогично Safe in Cloud и подобным программам, Pocket поддерживает категории, позволяя сортировать записи по различным типам. В настройках группы указываются поля — то есть, нечто вроде шаблона. В результате, легко создавать группы в широком диапазоне, от веб-логинов и автомобильных знаков до лицензий, рецептов и других сущностей. Рядом располагается генератор паролей, он поможет создать пароль необходимой длины и сложности в соответствующем поле.
Поисковой строке отведен свой раздел, и небольшое неудобство заключается в том, что нужно нажать на кнопку «Поиск», ввести ключевые слова и вновь нажать на кнопку, хотя, как уже было отмечено, можно реализовать это куда проще для пользователя.
Для шифрования применяется алгоритм AES-256. Мастер-пароль, созданный в целях защиты базы данных, представляет собой хэш SHA-512 и, по сути, не хранится на устройстве как заданная комбинация цифр. При неактивности, Pocket автоматически блокирует доступ и очищает буфер обмена, обеспечивая комплексную защиту данных.
Существующие записи можно импортировать или сделать резервную копию с SD-карты, синхронизировать с Dropbox. При онлайн-синхронизации используется протокол HTTPS, данные передаются зашифрованными.
Pro-версия, по сравнению с бесплатной, не несет в себе добавочной функциональности, но в ней нет рекламы.
Резюме. Программа уже год не обновлялась, однако и сейчас она вполне актуальна. Pocket отличается неплохим дизайном, пусть и не во всех моментах оптимизированным для быстрого доступа — такие «фишки», как быстрый поиск и QuickUnlock, не помешали бы. Настраиваемая синхронизация, экспорт записей на SD-карту, мастер импорта. Доступна интеграция с настольным (Windows/Mac/Unix) jar-приложением.
LastPass
LastPass — это симбиоз браузера и менеджера паролей. Браузер используется для быстрого заполнения форм, сохранения адресов и другой информации, а менеджер также позволяет хранить любые текстовые данные.
Приложение доступно для множества платформ, включая мобильные устройства. Вместе с этим, LastPass не вынуждает использовать встроенный браузер, предлагая на выбор расширения для Internet Explorer, Firefox, Chrome, Safari и Opera.
Браузер и менеджер доступны в едином окне. В любой момент можно получить доступ как к браузеру, так и к остальному инструментарию приложения. LastPass содержит три раздела: «Сайты», «Защищенные заметки» и «Заполнение форм».
«Сайты» — записи вида логин/пароль для аутентификации на определенном сайте, плюс дополнительные опции (автовход/автозаполнение, примечание, группа).
«Защищенные заметки» — это не простые текстовые записи, как, скажем, в mySecret, а профили для заполнения с различными полями: банковские счета, паспорта, ключи, базы данных и прочие. Заметки подобного типа могут содержать вложения в виде изображений и аудиозаписей.
«Заполнение форм» — создание профилей, которые ускоряют ввод адресов, имен, цифр.
Для создания паролей в LastPass в любой момент может использоваться генератор. Правда, его нужно каждый раз открывать из контекстного меню (а не вызывать рядом с полем), затем копировать сведения в буфер обмена. Автоматическая очистка буфера при этом не поддерживается, что несколько снижает безопасность.
Резюме. С одной стороны, заполнение форм — это не главная функция менеджера паролей. Далеко не многим придется по вкусу браузер или менеджер LastPass. Часть этих возможностей успешно реализована в браузерах, оставшаяся часть компенсируется любым другим менеджером.
В то же время, LastPass — это удачная реализация приложения «два в одном». Для того, чтобы вспомнить пароль для входа на сайт, не нужно открывать отдельный менеджер, все уже находится под рукой. Таким образом, можно улучшить защиту, ускорить создание и ввод паролей, синхронизировать данные на многих устройствах.
PassWallet
PassWallet — менеджер паролей и защищенное хранилище данных. Предлагается 256bit AES шифрование базы, синхронизация с онлайн-сервисами Dropbox и Google Drive.
Личные данные можно импортировать из других приложений, включая Keeper, mSecure, aWallet, DataVault, SplashID, NS Wallet, LastPass, Password Box, Safe in Cloud (некоторые из приложений уже упомянуты или войдут во вторую часть путеводителя). Поддерживается импорт и экспорт CSV-файла. В Pro-версии PassWallet доступно резервное копирование и восстановление данных с поддержкой шифрования и установкой PIN-кода.
Весьма удобно то, что начальный экран поддерживает «терминальный» способ ввода, то есть, для ввода мастер-пароля не нужно открывать стандартную клавиатуру Android.
С помощью PassWallet можно создавать защищенные записи, содержащие данные кредитных карт, веб-сервисов, удостоверений. При выборе пункта «Другое» предлагается ввести имя, идентификатор, пароль и примечание. Таким образом, использовать шаблоны и пользовательские поля нельзя, а это уже ощутимый недостаток. Для данных, привязанных к дате (паспорт, кредитные карты и др.) можно указать срок действия — PassWallet уведомит пользователя о скором истечении времени. При вводе пароля можно воспользоваться простым генератором (выдает произвольный набор символов, без указания сложности).
Есть поиск по мере ввода, а вот упорядочивать информацию по тегам или категориям нельзя. Поэтому остается использовать стандартные, не всегда полезные группы, вроде «Веб-входы», «Банковские счета».
Более оптимистично обстоят дела с опциями безопасности. Это т. н. режим Stealth (возможность скрыть значок приложения), маскировка (PassWallet не отображается в истории запуска), автоблокировка, функция уничтожения данных при неверном вводе.
Приложение платное, предоставляется месяц ознакомительного режима.
Резюме. Разработчики убеждены, что PassWallet является наиболее «защищенным и удобным менеджером». По факту — простой инструментарий с продуманной защитой доступа, в бесплатных приложениях можно встретить и более широкий набор функций.
Dashlane Password Manager
Бесплатный менеджер Dashlane позволяет генерировать пароли, хранить их в безопасной среде, в дальнейшем используя для автозаполнения форм и входа на сайты. Для интернет-навигации можно задействовать Dashlane Browser, для ввода данных — специальную клавиатуру Dashlane Keyboard. Приложение доступно для платформ Mac, Windows, iOS, планшетов и телефонов на базе Android.
В первую очередь, следует отметить удобный интерфейс программы. Быстрый доступ к данным может осуществляться как через выдвижную боковую панель, так и через панель управления и строку поиска. Dashlane состоит из трех основных разделов: Password Manager (Менеджер паролей), Autofill (Автозаполнение), Wallet (Кошелек).
Запись с паролем включает в себя информацию о сайте, закрепленную категорию и заметку. Для создания безопасного пароля может использоваться встроенный генератор. Помимо добавления пароля, доступны заметки, содержащие заголовок и контент. Для автозаполнения форм может использоваться клавиатура Dashlane Keyboard (подключить ее легко через системные настройки раздела «Язык и ввод») и браузер — Dashlane Browser. При необходимости, через настройки можно указать альтернативное приложение для интернет-серфинга.
Более детально настройки автозаполнения раскрываются в секции Autofill. В раздел Personal Info (личная информация) добавляются адреса, телефоны, имена, в дальнейшем используемые в полях. Второй подраздел содержит идентификаторы, ID — стандартный набор шаблонов с полями, включая паспортные данные, номера лицензий и т. п. К сожалению, добавить свой шаблон или поля не предоставляется возможным.
Наконец, в разделе Wallet ведется учет информации для платежных систем: это номера кредитных карт, счетов.
В Dashlane предусмотрены меры безопасности, такие как очистка буфера обмена, защита PIN-кодом, мастер-паролем, автоблокировка, запрет на снятие снимков экрана.
Премиум-версия Dashlane предполагает синхронизацию паролей на различных устройствах, автоматическое резервирование информации и онлайн-доступ к базе.
Резюме. Dashlane предлагает четкое разделение личной информации на несколько секций, удобное управление данными и продуманную настройку доступа. Для быстрого ввода могут быть полезны дополнительные инструменты, такие как браузер и клавиатура. Следует иметь в виду, что бесплатная версия Dashlane не поддерживает синхронизацию и создание резервной копии.