我正在将一个加密文件从Android手机上传到服务器,并在服务器端解密同一文件。
客户端:使用HTTP post将文件发送到服务器服务器:PHP加密:三重DES
我在客户端和服务器端都对密钥和iv进行了硬编码。是否知道如何使用钥匙和iv,以确保变速器高度安全?
谢谢!
否。如果将对称密钥硬编码到在不受信任的设备上运行的客户端应用程序中,则实际上根本没有加密。攻击者可以从他的应用程序中提取密钥,并解密所有其他传输。
只需将https与服务器对应的单个受信任根公钥一起使用即可。
如果android在传输文件之前立即对其进行加密,并且服务器在收到文件时对其进行解密,那么您应该只使用SSL/TLS/HTTPS。
对密钥或IV进行硬编码是非常糟糕的做法。如果在应用程序中对密钥进行硬编码,那么任何能够获得二进制文件的人都拥有密钥并可以读取消息。如果你对IV进行硬编码,即使没有密钥的人也可能会做一些事情(IV可以是公共的,但它们必须是随机的)