スマホ関連の海外ニュースです。
SHA1 でアンドロイド発売 RSA1024 は、予見可能な将来のため十分に強いと考えられていた、これは完全に変更されていないが、今日の推薦署名・暗号化それら危険にさらされることができますの強い cyphers を使用することです。 我々 は Google Play でストアにアプリをアップロードするとき、APK のビルド処理の一部として署名されています。このプロセスは、私たち自身を生成署名/証明書 (Apple にとってそれを生成する) とは異なり、冗長です。しかし、これは重要なステップそれはデバイスがアップグレードを確認し、同じ原作からは、新しい更新プログラムを確認することができます! つまり、ハッカーが Google Play 上のアカウントを引き継ぐ場合彼はことはできません証明書なし、アプリに偽の更新プログラムを出荷します。ハッカーは、証明書へのアクセスを持っているならば彼がだけを送って彼すべての利用者の個人情報など、アプリの更新プログラムを作成するので、それは重要な銀行ならこの災害を可能性があります。 アンドロイド RSA1024/SHA1 署名証明書として開始。これは時間で十分だった、まだかなり安全。これらのアルゴリズムは、ゆっくりと侵食し、それは、アプリの 10-15 年の生涯の中で彼らが危険にさらされる強力なハードウェアを使用して考えられる。だからこそ、Google Android の新しいバージョンに署名の強力な暗号化のサポートが導入し、それを使用できます。 Google は、これらの新しいキーを使用して古いデバイスとの互換性が壊れますのでだけ Android 4.3 ではこの機能を紹介しました。安全性の高いアプリケーションを構築する場合、これはおそらくあなたが受け入れる必要がありますトレードオフです。そうでない場合はこれは、いくつかの理論的な利点のそれの価値があるかもしれない。さらに、アプリはすでに出荷する場合運の尽きています。明らかなセキュリティ上の影響のためアプリを出荷した後、証明書は最終です。Google は、出荷アプリケーションの証明書を更新する方法を提供していません。したがってこの機能は、play ストアにまだないアプリにのみ適用されます。 新しいアプリケーションを構築する場合、これはかなり簡単に統合は、あなたの部分の変更は不要します。ちょうど新しい証明書。このような記事の指示を使用して新しいセキュリティで保護されたキーを生成できます。APK のセキュリティを強化する SHA512 キーを生成する次のアップデートで新しいオプションを持ってを使用している場合: コードネーム 1 つのアプリケーションのセキュリティの強化についての記事の多くを行ったあなたが気づいているかもしれませんが、コードネーム 1 つアプリケーション詳細は既定のセキュリティ設定し、セキュリティに関して必要なものを見つけやすくしたいと思うと思います。それの 1 つの部分は、ブログに新しいセキュリティ タグの紹介です。今後のブログ記事で、開発者ガイドでは、コードネーム 1 つのアプリケーションを強化するより詳細なマニュアルもあります。
続きを読む…
Strong Android Certificates
When Android launched RSA1024 with SHA1 was considered strong enough for the foreseeable future, this hasn’t changed completely but the recommendation today is to use stronger cyphers for signing & encrypting as those can be compromised. APK’s are signed as part of the build process when we upload an app to the Google Play Store. This process seems redundant as we generate the signature/certificate ourselves (unlike Apple which generates it for us).
Read more…
