Android: Как зашифровать секретным ключом, защищенным от отпечатков пальцев, сразу после его создания?

Question

Я пытаюсь зашифровать PIN-код, используя мой отпечаток пальца. Мой план состоит в том, чтобы в моей настройке «Настройки» была активирована защита от отпечатков пальцев.

Как только пользователь включит настройку, ему будет предложено ввести свой PIN-код, который затем будет зашифрован с помощью секретного ключа, связанного с его отпечатком пальца.

Согласно образцу Google android-FingerprintDialog , я создал секретный ключ, связанный с моим отпечатком пальца, и пытаюсь использовать его сразу после генерации для шифрования своего ПИН-кода, но при получении android.security.KeyStoreException: Key user not authenticated звонить cipher.doFinal().

Похоже, мне придется не только попросить пользователя ввести PIN-код, но и попросить его один раз пройти аутентификацию с помощью отпечатка пальца, чтобы зашифровать PIN-код, что немного влияет на работу пользователя.

Можно ли каким-либо образом зашифровать PIN-код секретным ключом сразу после его создания, не требуя от пользователей аутентификации в первый раз?

Пожалуйста, смотрите мой код ниже. Спасибо.

    public void createKey(String keyName, boolean invalidatedByBiometricEnrollment) {
        // The enrolling flow for fingerprint. This is where you ask the user to set up fingerprint
        // for your flow. Use of keys is necessary if you need to know if the set of
        // enrolled fingerprints has changed.
        try {
            mKeyStore.load(null);
            // Set the alias of the entry in Android KeyStore where the key will appear
            // and the constrains (purposes) in the constructor of the Builder

            KeyGenParameterSpec.Builder builder = new KeyGenParameterSpec.Builder(keyName,
                    KeyProperties.PURPOSE_ENCRYPT |
                            KeyProperties.PURPOSE_DECRYPT)
                    .setBlockModes(KeyProperties.BLOCK_MODE_CBC)
                    // Require the user to authenticate with a fingerprint to authorize every use
                    // of the key
                    .setUserAuthenticationRequired(true)
                    .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_PKCS7);

            // This is a workaround to avoid crashes on devices whose API level is < 24
            // because KeyGenParameterSpec.Builder#setInvalidatedByBiometricEnrollment is only
            // visible on API level +24.
            // Ideally there should be a compat library for KeyGenParameterSpec.Builder but
            // which isn't available yet.
            if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.N) {
                builder.setInvalidatedByBiometricEnrollment(invalidatedByBiometricEnrollment);
            }
            mKeyGenerator.init(builder.build());
            SecretKey secretKey = mKeyGenerator.generateKey();

            if (initEncryptionCipher(mDefaultEncryptionCipher, secretKey))
                tryEncrypt(mDefaultEncryptionCipher, SECRET_MESSAGE);
        } catch (NoSuchAlgorithmException | InvalidAlgorithmParameterException
                | CertificateException | IOException e) {
            throw new RuntimeException(e);
        }
    }

    /**
     * Initialize the {@link Cipher} instance with the created key in the
     * {@link #createKey(String, boolean)} method.
     *
     * @param secretKey the key name to init the cipher
     * @return {@code true} if initialization is successful, {@code false} if the lock screen has
     * been disabled or reset after the key was generated, or if a fingerprint got enrolled after
     * the key was generated.
     */
    private boolean initEncryptionCipher(Cipher cipher, SecretKey secretKey) {
        try {
            mKeyStore.load(null);
            cipher.init(Cipher.ENCRYPT_MODE, secretKey);
            return true;
        } catch (KeyPermanentlyInvalidatedException e) {
            Log.e("Encryption Cipher", Log.getStackTraceString(e));
            return false;
        } catch (CertificateException | IOException
                | NoSuchAlgorithmException | InvalidKeyException e) {
            throw new RuntimeException("Failed to init Cipher", e);
        }
    }


    /**
     * Tries to encrypt some data with the generated key in {@link #createKey} which is
     * only works if the user has just authenticated via fingerprint.
     */
    private void tryEncrypt(Cipher cipher, String secret) {
        try {
            byte[] encrypted = cipher.doFinal(secret.getBytes());
            SECRET_MESSAGE = new String(Base64.encode(encrypted, Base64.DEFAULT));
        } catch (BadPaddingException | IllegalBlockSizeException e) {
            Toast.makeText(this, "Failed to encrypt the data with the generated key. "
                    + "Retry the purchase", Toast.LENGTH_LONG).show();
            Log.e(TAG, Log.getStackTraceString(e));
        }
    }

Answer 1

setUserAuthenticationRequired(true) без указания срока действия означает:

Каждая операция с таким ключом должна быть авторизована пользователем индивидуально. В настоящее время единственным средством такой авторизации является аутентификация по отпечатку пальца

Это включает в себя первую операцию после создания ключа.

---

KeyGenParameterSpec.Builder имеет другой метод, setUserAuthenticationValidityDurationSeconds, который позволяет указать, что ключ должен использоваться для неограниченного числа операций в течение N секунд после последней авторизации. Ключи, для которых вы указали срок действия, также имеют это немного другое свойство:

Все ключи в этом режиме разрешены к использованию, как только пользователь разблокирует экран безопасной блокировки или подтвердит свои учетные данные на экране безопасной блокировки, используя KeyguardManager.createConfirmDeviceCredentialIntent flow

Однако я не знаю, относится ли это к вновь созданным ключам - то есть, становится ли вновь созданный ключ доступным для использования, или если это не произойдет, пока в следующий раз следующий пользователь не разблокирует экран .

---

( источник )