越來越多的黑客盯上了移動(dòng)應(yīng)用，每天都會(huì)增加，因?yàn)橐苿?dòng)應(yīng)用中有黑客感興趣的東西，如用戶數(shù)據(jù)。硬編碼（Hard-coded，注，固定寫死，不能修改的）安全秘鑰，SD 卡中以明文存放的個(gè)人信息，數(shù)據(jù)庫中未加密存儲(chǔ)的用戶名和密碼，收集的分析（analytics）并以明文方式發(fā)到遠(yuǎn)程服務(wù)器，這些情況都使得攻擊更容易（得手）。

正確使用Cryptography 工具，能保護(hù)我們的敏感數(shù)據(jù)，確保隱私和數(shù)據(jù)完整。另一方面,加密難用且容易誤用（ cryptography is hard to use and easy to misuse）。 注意容易被破解的加密方式（broken cryptography） (如，使用不安全算法，或硬編碼秘鑰到二進(jìn)制包），請(qǐng)查閱列表2014年，移動(dòng)領(lǐng)域10大風(fēng)險(xiǎn)。因此，從中得到什么教訓(xùn)？不用加密不可取，不能正確加密同樣不可取 (不提耗費(fèi)的時(shí)間)。

為了能在安卓平臺(tái)上開發(fā)出安全的應(yīng)用，接下來我們將介紹如何能既簡(jiǎn)單又安全地進(jìn)行加密。

首先，概括性地介紹一些常見的可集成到安卓應(yīng)用中的加密庫。加密庫是包含諸如加密算法、填充方式和散列函數(shù)等工具的加密工具集合。

充氣城堡軍團(tuán)（Legion of the Bouncy Castle）是一個(gè)來自澳大利亞的公益團(tuán)體，他們編寫了Bouncy Castle 這個(gè)廣泛使用的類庫。該庫既提供了一個(gè)輕量級(jí)的密碼學(xué) API，也是一個(gè) Java 密碼擴(kuò)展（JCE）的提供者。安卓平臺(tái)已經(jīng)內(nèi)置了一個(gè)精簡(jiǎn)過的老版本 Bouncy Castle（同時(shí)為了適配安卓平臺(tái)也做了一些細(xì)小的改動(dòng)）。結(jié)果就是任何在應(yīng)用程序中構(gòu)建和使用最新版本 BouncyCastle 類庫的嘗試都將導(dǎo)致類加載沖突。

Spongy Castle 背后的動(dòng)機(jī)是允許安卓開發(fā)者在應(yīng)用程序中使用任意版本的 BouncyCastle 類庫。SpongyCastle 就是對(duì)最新版本的 BouncyCastle 進(jìn)行了簡(jiǎn)單地重新打包；所有的 org.bouncycastle.* 包重命名為了 org.spongycastle.*，所有 Java安全 API 提供者的名字由 BC 改為了 SC。

OpenSSL 是一個(gè)實(shí)現(xiàn)了 SSL 和 TLS 協(xié)議以及通用密碼庫的開源工具包。OpenSSL 已經(jīng)被移植到了很多平臺(tái)，包括安卓。做為一個(gè)替代方案，你也可以從源碼構(gòu)建（使用安卓 NDK），然后綁定到應(yīng)用程序中。

現(xiàn)在我們假設(shè)出于應(yīng)用程序的目的，你想要加密一些數(shù)據(jù)。你會(huì)使用哪個(gè)加密算法，AES 還是 DES？你的秘鑰多長(zhǎng)，128 還是 256 比特？你會(huì)使用哪種加密模式，ECB 還是 CBC？如果你對(duì)所有這些問題都沒有答案，也沒有好的理由，那么你可能發(fā)現(xiàn)你正處在一個(gè)微妙的位置，雖然你擁有所有你想要的工具，但是你一點(diǎn)兒都不確定使用哪個(gè)、如何使用。

這正是傻瓜密碼學(xué)工具包發(fā)揮作用的場(chǎng)景。這些工具包并沒有實(shí)現(xiàn)任何奇特的加密功能，也沒有嘗試替代任一上述的密碼學(xué)庫；相反它們基于這些類庫構(gòu)建，唯一的目的是使得使用加密功能更簡(jiǎn)單更安全。

與通用密碼學(xué)庫相反，這些工具包通常只支持一部分算法、模式、結(jié)構(gòu)、參數(shù)。對(duì)于通用加密工具需要設(shè)定的部分，這些工具包為你提供了合理的默認(rèn)值，以防你知道想要什么，但是不知道如何使用，或者只在乎最終有個(gè)安全的解決方案。讓我們檢查幾個(gè)這類工具包以便來更好的理解它們的運(yùn)行規(guī)則。

Keyczar 是一組開源工具包，最初由兩位 Google Security Team（谷歌安全團(tuán)隊(duì)）成員開發(fā)。 它用 Java，Python 和 C++ 語言實(shí)現(xiàn)。它支持對(duì)稱加密和費(fèi)堆成加密兩種鑒權(quán)方式。Keyczar 提供安全的默認(rèn)設(shè)定，包括算法，秘鑰長(zhǎng)度和模式，秘鑰循環(huán)和版本化，初始向量（vector）和授權(quán)碼自動(dòng)生成，支持國際化。該工具包基于JCE構(gòu)建,( here)，使用了Spongy Castle的安全提供程序。

AeroGear Crypto 是 AeroGear 提供的一個(gè)小的 Java 庫。 它支持可認(rèn)證的對(duì)稱加密，橢圓曲線加密，基于密碼的秘鑰推導(dǎo)。它也提供了算法的顯式設(shè)定。AeroGear Crypto 在 android 平臺(tái)依賴Spongy Castle，在其他平臺(tái)上依賴 Bouncy Castle。該庫在 iOS，Windows Phone 和 Cordova 上同樣可用。

為了能夠快速并使用很少內(nèi)存對(duì)SD卡上的大型文件實(shí)現(xiàn)加密和認(rèn)證，臉譜開發(fā)出了 Conceal。Conceal既可以進(jìn)行認(rèn)證，也可以進(jìn)行加密，同時(shí)默認(rèn)也提供了密鑰管理功能。它使用的是 OpenSSL，不過僅包含自己需要的那部分，因此其大小僅為 85KB。Conceal 站點(diǎn)上公布的結(jié)果顯示它優(yōu)于 Bouncy Castle。

下表對(duì)上面所介紹的加密庫做了總結(jié)。請(qǐng)注意：上面介紹的所有的庫可以讓加密方面的新手安全地進(jìn)行加密，不過高級(jí)開發(fā)人員可以不使用這些默認(rèn)做法，可以按照自己的意愿指定所有的加密細(xì)節(jié)（就像他們?cè)谑褂闷渌用軒炷菢樱?/p>AeroGear CryptoAeroGearApache 2.0ConcealFacebookBSDKeyczar–Apache 2.0加密庫開發(fā)公司許可證總結(jié)（To sum up）

如果你是一個(gè)移動(dòng)應(yīng)用開發(fā)者，你得花時(shí)間（精力）使你的應(yīng)用程序便于使用，功能豐富，抓人眼球，但是，你不要忘了改善你應(yīng)用的安全性。 如果你不懂怎么著手，或者擔(dān)心做不對(duì)，那就從文中提到的工具包中選擇一個(gè)，以便能夠開始。不管你決定選用哪個(gè)加密工具都好，都應(yīng)避免自己實(shí)現(xiàn)加密算法和加密協(xié)議； 應(yīng)該只使用那些廣泛應(yīng)用的，普遍認(rèn)可的，經(jīng)受考驗(yàn)的算法和協(xié)議。

原文地址：http://www.developereconomics.com/android-cryptography-tools-for-beginners/