Подтверждение защиты Android

Чтобы помочь вам подтвердить намерения пользователей при инициировании конфиденциальной транзакции, например, совершении платежа, поддерживаемые устройства под управлением Android 9 (уровень API 28) и выше позволяют использовать функцию Android Protected Confirmation. При использовании этого рабочего процесса ваше приложение отображает пользователю запрос на одобрение в виде краткого заявления, подтверждающего его намерение завершить конфиденциальную транзакцию.

Если пользователь принимает это заявление, ваше приложение может использовать ключ из хранилища ключей Android для подписи сообщения, отображаемого в диалоговом окне. Подпись с высокой степенью уверенности подтверждает, что пользователь ознакомился с заявлением и согласен с ним.

Внимание: Android Protected Confirmation не предоставляет пользователю безопасный канал передачи информации. Ваше приложение не может гарантировать конфиденциальность, превышающую гарантии, предоставляемые платформой Android. В частности, не используйте этот рабочий процесс для отображения конфиденциальной информации, которую вы обычно не отображаете на устройстве пользователя.

После того как пользователь подтвердит сообщение, его целостность будет гарантирована, но ваше приложение по-прежнему должно использовать шифрование данных при передаче, чтобы защитить конфиденциальность подписанного сообщения.

Чтобы обеспечить поддержку высоконадежного подтверждения пользователя в вашем приложении, выполните следующие действия:

  1. Сгенерируйте асимметричный ключ подписи с помощью класса KeyGenParameterSpec.Builder . При создании ключа передайте true в setUserConfirmationRequired() . Также вызовите setAttestationChallenge() , передав соответствующее значение вызова, предоставленное проверяющей стороной.

  2. Зарегистрируйте вновь сгенерированный ключ и сертификат подтверждения вашего ключа у соответствующей проверяющей стороны.

  3. Отправьте данные о транзакции на свой сервер и дайте ему возможность сгенерировать и вернуть большой двоичный объект (BLOB) с дополнительными данными . Дополнительные данные могут включать данные, требующие подтверждения, или подсказки для анализа, например, локаль строки запроса.

    Для более безопасной реализации BLOB-объект должен содержать криптографический одноразовый номер для защиты от атак повторного воспроизведения и устранения неоднозначности транзакций.

  4. Настройте объект ConfirmationCallback , который информирует ваше приложение, когда пользователь принял приглашение, отображаемое в диалоговом окне подтверждения:

    Котлин 

    class MyConfirmationCallback : ConfirmationCallback() {

      override fun onConfirmed(dataThatWasConfirmed: ByteArray?) {
          super.onConfirmed(dataThatWasConfirmed)
          // Sign dataThatWasConfirmed using your generated signing key.
          // By completing this process, you generate a signed statement.
      }

      override fun onDismissed() {
          super.onDismissed()
          // Handle case where user declined the prompt in the
          // confirmation dialog.
      }

      override fun onCanceled() {
          super.onCanceled()
          // Handle case where your app closed the dialog before the user
          // responded to the prompt.
      }

      override fun onError(e: Exception?) {
          super.onError(e)
          // Handle the exception that the callback captured.
      }
  }

    Ява 

    public class MyConfirmationCallback extends ConfirmationCallback {

  @Override
  public void onConfirmed(@NonNull byte[] dataThatWasConfirmed) {
      super.onConfirmed(dataThatWasConfirmed);
      // Sign dataThatWasConfirmed using your generated signing key.
      // By completing this process, you generate a signed statement.
  }

  @Override
  public void onDismissed() {
      super.onDismissed();
      // Handle case where user declined the prompt in the
      // confirmation dialog.
  }

  @Override
  public void onCanceled() {
      super.onCanceled();
      // Handle case where your app closed the dialog before the user
      // responded to the prompt.
  }

  @Override
  public void onError(Throwable e) {
      super.onError(e);
      // Handle the exception that the callback captured.
  }
}

    Если пользователь одобряет диалог, вызывается обратный вызов onConfirmed() . BLOB-объект dataThatWasConfirmed — это структура данных CBOR , которая содержит, помимо прочего, текст подсказки, увиденный пользователем, а также дополнительные данные, переданные вами в конструктор ConfirmationPrompt . Используйте ранее созданный ключ для подписи BLOB-объекта dataThatWasConfirmed , а затем передайте этот BLOB-объект вместе с подписью и данными транзакции обратно проверяющей стороне.

    Чтобы в полной мере воспользоваться гарантиями безопасности, которые предлагает Android Protected Confirmation, проверяющая сторона должна выполнить следующие шаги после получения подписанного сообщения:

    1. Проверьте подпись под сообщением, а также цепочку сертификатов подтверждения ключа подписи.
    2. Убедитесь, что у сертификата подтверждения установлен флаг TRUSTED_CONFIRMATION_REQUIRED , указывающий на необходимость подтверждения ключа подписи доверенным пользователем. Если ключ подписи — это ключ RSA, проверьте, что у него нет свойств PURPOSE_ENCRYPT или PURPOSE_DECRYPT .
    3. Проверьте extraData , чтобы убедиться, что это подтверждающее сообщение относится к новому запросу и ещё не обработано. Этот шаг защищает от атак повторного воспроизведения.
    4. Проанализируйте promptText на предмет информации о подтверждённом действии или запросе. Помните, что promptText — это единственная часть сообщения, которую пользователь фактически подтвердил. Проверяющая сторона ни при каких обстоятельствах не должна предполагать, что данные, подлежащие подтверждению, включённые в extraData соответствуют promptText .

  5. Добавьте логику, аналогичную показанной в следующем фрагменте кода, для отображения самого диалогового окна:

    Котлин 

    // This data structure varies by app type. This is an example.
  data class ConfirmationPromptData(val sender: String,
          val receiver: String, val amount: String)

  val myExtraData: ByteArray = byteArrayOf()
  val myDialogData = ConfirmationPromptData("Ashlyn", "Jordan", "$500")
  val threadReceivingCallback = Executor { runnable -> runnable.run() }
  val callback = MyConfirmationCallback()

  val dialog = ConfirmationPrompt.Builder(context)
          .setPromptText("${myDialogData.sender}, send
                          ${myDialogData.amount} to
                          ${myDialogData.receiver}?")
          .setExtraData(myExtraData)
          .build()
  dialog.presentPrompt(threadReceivingCallback, callback)

    Ява 

      // This data structure varies by app type. This is an example.
  class ConfirmationPromptData {
      String sender, receiver, amount;
      ConfirmationPromptData(String sender, String receiver, String amount) {
          this.sender = sender;
          this.receiver = receiver;
          this.amount = amount;
      }
  };
  final int MY_EXTRA_DATA_LENGTH = 100;
  byte[] myExtraData = new byte[MY_EXTRA_DATA_LENGTH];
  ConfirmationPromptData myDialogData = new ConfirmationPromptData("Ashlyn", "Jordan", "$500");
  Executor threadReceivingCallback = Runnable::run;
  MyConfirmationCallback callback = new MyConfirmationCallback();
  ConfirmationPrompt dialog = (new ConfirmationPrompt.Builder(getApplicationContext()))
          .setPromptText("${myDialogData.sender}, send ${myDialogData.amount} to ${myDialogData.receiver}?")
          .setExtraData(myExtraData)
          .build();
  dialog.presentPrompt(threadReceivingCallback, callback);

Дополнительные ресурсы

Дополнительную информацию о подтверждении защищенной версии Android можно найти в следующих ресурсах.

Блоги