移動應用加密工具解析

移動互聯網的普及，越來越多的移動應用陷入安全門，各種信息泄露、盜號風波層出不窮。越來越多的黑客盯上了移動應用，而SD 卡中以明文存放的個人信息，數據庫中未加密存儲的用戶名和密碼，收集的分析并以明文方式發到遠程服務器，這些情況都使得黑客攻擊更容易。

正確使用Cryptography 工具，能保護我們的敏感數據，確保隱私和數據完整。另一方面,加密難用且容易誤用。這里給大家推薦下目前移動應用適用的加密工具。

Bouncy Castle

Legion of the Bouncy Castle 是一個來自澳大利亞的公益團體，他們編寫了Bouncy Castle這個廣泛使用的類庫。該庫既提供了一個輕量級的密碼學API，也是一個Java密碼 擴展的提供者。安卓平臺已經內置了一個精簡過的老版本 Bouncy Castle(同時為了適配安卓平臺也做了一些細小的改動)。結果就是任何在應用程 序中構建和使用最新版本BouncyCastle類庫的嘗試都將導致類加載沖突。

Spongy Castle

SpongyCastle 背后的動機是允許安卓開發者在應用程序中使用任意版本的BouncyCastle類庫。SpongyCastle就是對最新版本的 BouncyCastle進行了簡單地重新打包；所有的org.bouncycastle.*包重命名為了org.spongycastle.*，所有 Java安全API提供者的名字由BC改為了SC。

OpenSSL

OpenSSL 是一個實現了SSL和TLS協議以及通用密碼庫的開源工具包。OpenSSL已經被移植到了很多平臺，包括安卓。做為一個替代方案，你也可以從源碼構建， 然后綁定到應用程序中。這些工具包并沒有實現任何奇特的加密功能，也沒有嘗試替代任一上述的密碼學庫；相反它們基于這些類庫構建，唯一的目的是使得使用加 密功能更簡單更安全。

與 通用密碼學庫相反，這些工具包通常只支持一部分算法、模式、結構、參數。對于通用加密工具需要設定的部分，這些工具包為你提供了合理的默認值，以防你知道 想要什么，但是不知道如何使用，或者只在乎最終有個安全的解決方案。讓我們檢查幾個這類工具包以便來更好的理解它們的運行規則。

Keyczar

Keyczar 是一組開源工具包，最初由兩位谷歌安全團隊成員開發，用Java，Python和C++語言實現，并支持對稱加密和費堆成加密兩種鑒權方式。 Keyczar提供安全的默認設定，包括算法，秘鑰長度和模式，秘鑰循環和版本化，初始向量和授權碼自動生成，支持國際化。該工具包基于JCE構建,使用 了Spongy Castle的安全提供程序。

AeroGear Crypto

AeroGear Crypto 是AeroGear提供的一個小的Java庫。它支持可認證的對稱加密，橢圓曲線加密，基于密碼的秘鑰推導。它也提供了算法的顯式設定。 AeroGear Crypto在android平臺依賴Spongy Castle，在其他平臺上依賴Bouncy Castle。該庫在iOS、 Windows Phone和Cordova 上同樣可用。

Conceal

為 了能夠快速并使用很少內存對SD卡上的大型文件實現加密和認證，臉譜開發出了Conceal。Conceal既可以進行認證，也可以進行加密，同時默認也 提供了密鑰管理功能。它使用的是 OpenSSL，不過僅包含自己需要的那部分，因此其大小僅為85KB。Conceal站點上公布的結果顯示它優于 Bouncy Castle。

下 表對上面所介紹的加密庫做了總結。上文介紹的所有的庫可以讓加密方面的新手安全地進行加密，不過高級開發人員可以不使用這些默認做法，可以按照自己的意愿 指定所有的加密細節(就像他們在使用其他加密庫那樣)。這里需要提出的是，新手在加密這一安全環節，可以使用移動應用的加密服務，比如愛加密、云安全等， 可以有效且全面的保護移動應用安全。