हार्डकोड क्रिप्टोग्राफ़िक सीक्रेट

OWASP कैटगरी: MASVS-CRYPTO: क्रिप्टोग्राफ़ी

खास जानकारी

डेवलपर, मज़बूत एल्गोरिदम का इस्तेमाल करके डेटा की गोपनीयता और सुरक्षा को बनाए रखने के लिए क्रिप्टोग्राफ़ी का इस्तेमाल करते हैं. हालांकि, पासकोड स्टोरेज का अक्सर कम इस्तेमाल किया जाता है. आम तौर पर, उन्हें कोड में स्ट्रिंग या बाइट कलेक्शन के तौर पर या strings.xml जैसी ऐसेट फ़ाइल में, ऐप्लिकेशन में हार्डकोड किया जाता है. अगर ऐप्लिकेशन की किसी फ़ाइल में गोपनीय जानकारी ज़ाहिर होती है, तो यह कर्कोफ़ के सिद्धांत के ख़िलाफ़ है. साथ ही, सुरक्षा मॉडल को खराब माना जा सकता है.

असर

रिवर्स इंजीनियरिंग टूल का ऐक्सेस रखने वाला हमलावर, हार्ड कोड किया गया पासवर्ड आसानी से हासिल कर सकता है. स्थिति के हिसाब से, इसका असर अलग-अलग हो सकता है. हालांकि, कई मामलों में इससे सुरक्षा से जुड़ी गंभीर समस्याएं हो सकती हैं. जैसे, संवेदनशील डेटा का ऐक्सेस.

जोखिम कम करने के तरीके

इस समस्या को कम करने के लिए, KeyChain API का इस्तेमाल करें. इससे, आपको सिस्टम के लिए क्रेडेंशियल मिलेंगे. इसके अलावा, Android Keystore की सेवा देने वाली कंपनी की मदद से, किसी ऐप्लिकेशन को अपने क्रेडेंशियल सेव करने की अनुमति दी जा सकती है. ये क्रेडेंशियल सिर्फ़ वह ऐप्लिकेशन ऐक्सेस कर सकता है.

नीचे दिए गए कोड स्निपेट में, KeyStore का इस्तेमाल करके सिमेट्रिक पासकोड को सेव और इस्तेमाल करने का तरीका बताया गया है:

private val ANDROID_KEY_STORE_PROVIDER = "AndroidKeyStore"
private val ANDROID_KEY_STORE_ALIAS = "AES_KEY_DEMO"

@Throws(
    KeyStoreException::class,
    NoSuchAlgorithmException::class,
    NoSuchProviderException::class,
    InvalidAlgorithmParameterException::class
)
private fun createAndStoreSecretKey() {
    val builder: KeyGenParameterSpec.Builder = KeyGenParameterSpec.Builder(
        ANDROID_KEY_STORE_ALIAS,
        KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT
    )
    val keySpec: KeyGenParameterSpec = builder
        .setKeySize(256)
        .setBlockModes(KeyProperties.BLOCK_MODE_GCM)
        .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_NONE)
        .setRandomizedEncryptionRequired(true)
        .build()
    val aesKeyGenerator: KeyGenerator =
        KeyGenerator.getInstance(KeyProperties.KEY_ALGORITHM_AES, ANDROID_KEY_STORE_PROVIDER)
    aesKeyGenerator.init(keySpec)
    val key: SecretKey = aesKeyGenerator.generateKey()
}

@Throws(
    KeyStoreException::class,
    UnrecoverableEntryException::class,
    NoSuchAlgorithmException::class,
    CertificateException::class,
    IOException::class,
    NoSuchPaddingException::class,
    InvalidKeyException::class,
    IllegalBlockSizeException::class,
    BadPaddingException::class
)
private fun encryptWithKeyStore(plainText: String): ByteArray? {
    // Initialize KeyStore
    val keyStore: KeyStore = KeyStore.getInstance(ANDROID_KEY_STORE_PROVIDER)
    keyStore.load(null)
    // Retrieve the key with alias androidKeyStoreAlias created before
    val keyEntry: KeyStore.SecretKeyEntry =
        keyStore.getEntry(ANDROID_KEY_STORE_ALIAS, null) as KeyStore.SecretKeyEntry
    val key: SecretKey = keyEntry.secretKey
    // Use the secret key at your convenience
    val cipher: Cipher = Cipher.getInstance("AES/GCM/NoPadding")
    cipher.init(Cipher.ENCRYPT_MODE, key)
    return cipher.doFinal(plainText.toByteArray())
}

static private final String ANDROID_KEY_STORE_PROVIDER = "AndroidKeyStore";
static private final String ANDROID_KEY_STORE_ALIAS = "AES_KEY_DEMO";

private void createAndStoreSecretKey() throws KeyStoreException, NoSuchAlgorithmException, NoSuchProviderException, InvalidAlgorithmParameterException {
    KeyGenParameterSpec.Builder builder = new KeyGenParameterSpec.Builder(
        ANDROID_KEY_STORE_ALIAS,
        KeyProperties.PURPOSE_ENCRYPT | KeyProperties.PURPOSE_DECRYPT);
    KeyGenParameterSpec keySpec = builder
        .setKeySize(256)
        .setBlockModes(KeyProperties.BLOCK_MODE_GCM)
        .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_NONE)
        .setRandomizedEncryptionRequired(true)
        .build();
    KeyGenerator aesKeyGenerator = KeyGenerator.getInstance(KeyProperties.KEY_ALGORITHM_AES, ANDROID_KEY_STORE_PROVIDER);
    aesKeyGenerator.init(keySpec);
    SecretKey key = aesKeyGenerator.generateKey();
}

private byte[] encryptWithKeyStore(final String plainText) throws KeyStoreException, UnrecoverableEntryException, NoSuchAlgorithmException, CertificateException, IOException, NoSuchPaddingException, InvalidKeyException, IllegalBlockSizeException, BadPaddingException {
    // Initialize KeyStore
    KeyStore keyStore = KeyStore.getInstance(ANDROID_KEY_STORE_PROVIDER);
    keyStore.load(null);
    // Retrieve the key with alias ANDROID_KEY_STORE_ALIAS created before
    KeyStore.SecretKeyEntry keyEntry = (KeyStore.SecretKeyEntry) keyStore.getEntry(ANDROID_KEY_STORE_ALIAS, null);
    SecretKey key = keyEntry.getSecretKey();
    // Use the secret key at your convenience
    final Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
    cipher.init(Cipher.ENCRYPT_MODE, key);
    return cipher.doFinal(plainText.getBytes());
}

संसाधन

• Android KeyStore सिस्टम

• KeyStore से जुड़ा दस्तावेज़

• KeyChain का दस्तावेज़

• CWE-321: हार्ड कोड की गई क्रिप्टोग्राफ़िक कुंजी का इस्तेमाल करना