אישור מאובטח של Android

כדי לעזור לכם לאשר את כוונות המשתמשים כשהם מתחילים עסקה רגישת, כמו ביצוע תשלום, במכשירים נתמכים עם Android 9 (רמת API 28) ואילך אפשר להשתמש באישור המוגן של Android. כשמשתמשים בתהליך העבודה הזה, באפליקציה מוצגת בקשה למשתמש לאשר הצהרה קצרה שמאשרת מחדש את כוונתו להשלים את העסקה הרגישה.

אם המשתמש מאשר את ההצהרה, האפליקציה יכולה להשתמש במפתח מ-Android Keystore כדי לחתום על ההודעה שמוצגת בתיבת הדו-שיח. החתימה מציינת, ברמת וד��ות גבוהה מאוד, שהמשתמש ראה את ההצהרה ואישר אותה.

זהירות: התכונה Android Protected Confirmation לא מספקת למשתמש ערוץ מידע מאובטח. האפליקציה לא יכולה להניח שום התחייבות לסודיות מעבר לאלה שמציעה פלטפורמת Android. במיוחד, אל תשתמשו בתהליך העבודה הזה כדי להציג מידע רגיש שלא הייתם מציגים בדרך כלל במכשיר של המשתמש.

אחרי שהמשתמש מאשר את ההודעה, התקינות שלה מובטחת, אבל האפליקציה עדיין צריכה להשתמש בהצפנת נתונים במעבר כדי להגן על הסודיות של ההודעה החתומה.

כדי לספק תמיכה באימות משתמשים ברמה גבוהה באפליקציה, מבצעים את השלבים הבאים:

  1. יצירת מפתח חתימה אסימטרי באמצעות הכיתה KeyGenParameterSpec.Builder. כשיוצרים את המפתח, מעבירים את true אל setUserConfirmationRequired(). בנוסף, צריך לבצע קריאה ל-setAttestationChallenge(), ולהעביר ערך אתגר מתאים שסופק על ידי הצד הנסמך.

  2. רושמים את המפתח החדש שנוצר ואת אישור האימות של המפתח אצל הצד הנסמך המתאים.

  3. שולחים את פרטי העסקה לשרת ומבקשים ממנו ליצור ולשלוח אובייקט בינארי גדול (BLOB) של נתונים נוספים. הנתונים הנוספים עשויים לכלול את הנתונים שצריך לאשר או רמזים לניתוח, כמו האזור של מחרוזת ההנחיה.

    כדי לבצע הטמעה מאובטחת יותר, ה-BLOB חייב לכלול קוד חד-פעמי (nonce) קריפטוגרפית להגנה מפני התקפות שחזור ולמניעת בלבול בין עסקאות.

  4. מגדירים את האובייקט ConfirmationCallback שמעדכן את האפליקציה כשהמשתמש מאשר את ההנחיה שמוצגת בתיבת דו-שיח לאישור:

    Kotlin

    class MyConfirmationCallback : ConfirmationCallback() {
    
          override fun onConfirmed(dataThatWasConfirmed: ByteArray?) {
              super.onConfirmed(dataThatWasConfirmed)
              // Sign dataThatWasConfirmed using your generated signing key.
              // By completing this process, you generate a signed statement.
          }
    
          override fun onDismissed() {
              super.onDismissed()
              // Handle case where user declined the prompt in the
              // confirmation dialog.
          }
    
          override fun onCanceled() {
              super.onCanceled()
              // Handle case where your app closed the dialog before the user
              // responded to the prompt.
          }
    
          override fun onError(e: Exception?) {
              super.onError(e)
              // Handle the exception that the callback captured.
          }
      }
    

    Java

    public class MyConfirmationCallback extends ConfirmationCallback {
    
      @Override
      public void onConfirmed(@NonNull byte[] dataThatWasConfirmed) {
          super.onConfirmed(dataThatWasConfirmed);
          // Sign dataThatWasConfirmed using your generated signing key.
          // By completing this process, you generate a signed statement.
      }
    
      @Override
      public void onDismissed() {
          super.onDismissed();
          // Handle case where user declined the prompt in the
          // confirmation dialog.
      }
    
      @Override
      public void onCanceled() {
          super.onCanceled();
          // Handle case where your app closed the dialog before the user
          // responded to the prompt.
      }
    
      @Override
      public void onError(Throwable e) {
          super.onError(e);
          // Handle the exception that the callback captured.
      }
    }
    

    אם המשתמש מאשר את תיבת הדו-שיח, מתבצעת קריאה חוזרת (callback) ל-onConfirmed(). ה-BLOB של dataThatWasConfirmed הוא מבנה נתונים מסוג CBOR שמכיל, בין היתר, את הטקסט של ההנחיה שהמשתמש ראה ואת הנתונים הנוספים שהעברתם ל-builder של ConfirmationPrompt. משתמשים במפתח שנוצר קודם כדי לחתום על ה-BLOB של dataThatWasConfirmed, ואז מעבירים את ה-BLOB הזה, יחד עם החתימה ופרטי הטרנזקציה, בחזרה לצד הנסמך.

    כדי לנצל את כל יתרונות האבטחה של אישור המוגן של Android, הצד הנסמך צריך לבצע את הפעולות הבאות לאחר קבלת הודעה חתומה:

    1. בודקים את החתימה על ההודעה וגם את שרשרת אישורי האימות של מפתח החתימה.
    2. בודקים שהדגל TRUSTED_CONFIRMATION_REQUIRED מוגדר באישורי האימות, כדי לוודא שמפתח החתימה מחייב אישור של משתמש מהימן. אם מפתח החתימה הוא מפתח RSA, צריך לוודא שהוא לא מכיל את המאפיין PURPOSE_ENCRYPT או את המאפיין PURPOSE_DECRYPT.
    3. בודקים את extraData כדי לוודא שהודעת האישור הזו שייכת לבקשה חדשה שעדיין לא טופלה. השלב הזה מגן מפני התקפות של הפעלה חוזרת.
    4. לנתח את promptText כדי לקבל מידע על הפעולה או הבקשה שאושרו. חשוב לזכור ש-promptText הוא החלק היחיד בהודעה שהמשתמש אישר בפועל. ��ד המשתמש לא יכול להניח שהנתונים שצריך לאשר שכלולים ב-extraData תואמים ל-promptText.
  5. מוסיפים לוגיקה דומה לזו שמוצגת בקטע הקוד הבא כדי להציג את תיבת הדו-שיח עצמה:

    Kotlin

    // This data structure varies by app type. This is an example.
      data class ConfirmationPromptData(val sender: String,
              val receiver: String, val amount: String)
    
      val myExtraData: ByteArray = byteArrayOf()
      val myDialogData = ConfirmationPromptData("Ashlyn", "Jordan", "$500")
      val threadReceivingCallback = Executor { runnable -> runnable.run() }
      val callback = MyConfirmationCallback()
    
      val dialog = ConfirmationPrompt.Builder(context)
              .setPromptText("${myDialogData.sender}, send
                              ${myDialogData.amount} to
                              ${myDialogData.receiver}?")
              .setExtraData(myExtraData)
              .build()
      dialog.presentPrompt(threadReceivingCallback, callback)
    

    Java

      // This data structure varies by app type. This is an example.
      class ConfirmationPromptData {
          String sender, receiver, amount;
          ConfirmationPromptData(String sender, String receiver, String amount) {
              this.sender = sender;
              this.receiver = receiver;
              this.amount = amount;
          }
      };
      final int MY_EXTRA_DATA_LENGTH = 100;
      byte[] myExtraData = new byte[MY_EXTRA_DATA_LENGTH];
      ConfirmationPromptData myDialogData = new ConfirmationPromptData("Ashlyn", "Jordan", "$500");
      Executor threadReceivingCallback = Runnable::run;
      MyConfirmationCallback callback = new MyConfirmationCallback();
      ConfirmationPrompt dialog = (new ConfirmationPrompt.Builder(getApplicationContext()))
              .setPromptText("${myDialogData.sender}, send ${myDialogData.amount} to ${myDialogData.receiver}?")
              .setExtraData(myExtraData)
              .build();
      dialog.presentPrompt(threadReceivingCallback, callback);
    

מקורות מידע נוספים

למידע נוסף על אישור מוגן ב-Android, אפשר לעיין במשאבים הבאים.

בלוגים