Q&A
何のサーバー、データ、ファイルでしょうか。
#やりたいこと
現在私はAndroidアプリを作成しています。
その中で、サーバーからデータをダウンロードして内部ストレージに保存するのですが、ファイルを盗まれない対策として暗号化を検討しています。
アプリ内で暗号化・複合化する方法はありますが、それを応用してサーバーからダウンロードする時点で暗号化されており、読み込む際に複合化することは出来ないのでしょうか?その場合、安全な鍵の渡す手段などありますでしょうか?
現在、ストレージはFirebase Cloud Strageを利用していて、暗号化したいファイルは1ダウンロードごとに1つのファイルです。
独自のサーバーからのダウンロードも検討しています。
データに関しては、jsonファイルや音声ファイルになります。
https://developer.android.com/topic/security/data#write-files
に書かれている方法だと、SharedPreferencesに保存された鍵が流出した場合は、複合化出来てしまう気がします。
また、少し大きなファイル(100MB程度)の可能性もあるので、アプリのパフォーマンスが落ちてしまうのではと思っています。
root化されたら諦めるしかないのかなとは思っています。
何か良い方法はないでしょうか?
よろしくお願いいたします。
android で使える暗号をどこまで調査・検討・あるいはコーディングされたのでしょうか.
回答2件
0
Androidの鍵保存はKeystoreが一般的かと思われます。
参考
https://developer.android.com/training/articles/keystore?hl=ja
https://qiita.com/f_nishio/items/485490dea126dbbb5001
投稿2020/05/10 14:14
総合スコア1313
0
通信経路での傍受対策なら、SSHなんかで通信、ダウンロードすればいいですが、
それよりも、内部ストレージに保存するのをぶっこ抜かれたらどうしましょうか
暗号化キー、実際のデータを内部に持っている限り、漏洩は時間の問題だと思っときましょう
#裏返せば内部に持たせないようにすればいいということに
投稿2020/05/10 01:03
編集2020/05/10 02:34
総合スコア88042
その対策をしたくて、、
https://developer.android.com/topic/security/data#write-files
ここに書かれている物だと、root化した場合には、SharedPreferencesに保存されている鍵が盗まれ、複合化できてしまうような気がしています。
あなたの回答
tips
プレビュー
