鴻蒙開發:Universal Keystore Kit密鑰管理服務 密鑰導入介紹及算法規格
密鑰導入介紹及算法規格
如果業務在HUKS外部生成密鑰(比如應用間協商生成、服務器端生成),業務可以將密鑰導入到HUKS中由HUKS進行管理。密鑰一旦導入到HUKS中,在密鑰的生命周期內,其明文僅在安全環境中進行訪問操作,不會傳遞出安全環境,保證任何人都無法獲取到密鑰的明文。
密鑰導入的方式包含明文導入和加密導入兩種方式。
明文導入
該方式直接將密鑰明文導入HUKS,在導入過程中密鑰明文會暴露在非安全環境中,一般適用于輕量級設備或低安業務。
- 推薦使用該方式導入的密鑰類型:非對稱密鑰的公鑰
- 不推薦使用該方式導入的密鑰類型:對稱密鑰、非對稱密鑰對
- 開發前請熟悉鴻蒙開發指導文檔 :[
gitee.com/li-shizhen-skin/harmony-os/blob/master/README.md]
加密導入
該方式支持業務與HUKS建立端到端的加密傳輸通道,將密鑰安全加密導入到HUKS中,確保導入傳入過程中密鑰不被泄露,適用于高安敏感業務。相較于明文導入,加密導入步驟更多,密鑰材料更復雜。
- 推薦使用該方式導入的密鑰類型:對稱密鑰、非對稱密鑰對
下圖為加密導入密鑰開發時序圖。
根據開發流程,在導入加密密鑰過程中,需要依次調用HUKS的生成密鑰、導出公鑰、導入加密密鑰、刪除密鑰接口。
導出密鑰接口返回的[公鑰明文材料]是按照X.509格式封裝,導入加密密鑰接口中的密鑰材料需滿足LengthData-Data的格式封裝。
加密導入密鑰材料格式
| 內容 | 長度 |
|---|---|
| 業務公鑰長度LCaller_Pk | 4字節 |
| 業務公鑰Caller_Pk | LCaller_Pk字節 |
| Shared_Key加密參數AAD2長度LAAD2 | 4字節 |
| Shared_Key加密參數AAD2 | LAAD2字節 |
| Shared_Key加密參數Nonce2長度LNonce2 | 4字節 |
| Shared_Key加密參數Nonce2 | LNonce2字節 |
| Shared_Key加密參數AEAD2長度LAEAD2 | 4字節 |
| Shared_Key加密參數AEAD2 | LAEAD2字節 |
| Caller_Kek密文長度LCaller_Kek_enc | 4字節 |
| Caller_Kek密文Caller_Kek_enc | LCaller_Kek_enc字節 |
| Caller_Kek加密參數AAD3長度LAAD3 | 4字節 |
| Caller_Kek加密參數AAD3 | LAAD3字節 |
| Caller_Kek加密參數Nonce3長度LNonce3 | 4字節 |
| Caller_Kek加密參數Nonce3 | LNonce3字節 |
| Caller_Kek加密參數AEAD3長度LAEAD3 | 4字節 |
| Caller_Kek加密參數AEAD3 | LAEAD3字節 |
| 密鑰明文材料長度的長度LTo_Import_Key_size | 4字節 |
| 密鑰明文材料長度To_Import_Key_size | LTo_Import_Key_size字節 |
| To_Import_Key密文長度LTo_Import_Key_enc | 4字節 |
| To_Import_Key密文To_Import_Key_enc | LTo_Import_Key_enc字節HarmonyOS與OpenHarmony鴻蒙文檔籽料:mau123789是v直接拿 |
支持的算法
以下為密鑰導入支持的規格說明。
面向OpenHarmony的廠商適配密鑰管理服務規格分為必選規格和可選規格。必選規格為所有廠商均支持的算法規格。而對于可選規格,廠商將基于實際情況決定是否實現,如需使用,請查閱具體廠商提供的說明,確保規格支持再使用。
建議開發者使用必選規格開發應用,可保證全平臺兼容。
| 算法 | 支持的密鑰長度 | API級別 | 是否必選規格 |
|---|---|---|---|
| AES | 128、192、256 | 8+ | 是 |
| RSA | 512、768、1024 | 8+ | 否 |
| RSA | 2048、3072、4096 | 8+ | 是 |
| HMAC | 8-1024(含),必須是8的倍數 | 8+ | 是 |
| ECC | 224 | 8+ | 否 |
| ECC | 256、384、521 | 8+ | 是 |
| ED25519 | 256 | 8+ | 是 |
| X25519 | 256 | 8+ | 是 |
| DSA | 512-1024(含),8的倍數 | 8+ | 否 |
| DH | 2048 | 8+ | 是 |
| DH | 3072、4096 | 8+ | 否 |
| SM2 | 256 | 9+ | 是 |
| SM4 | 128 | 9+ | 是 |
審核編輯 黃宇
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
密鑰
+關注
關注
1文章
139瀏覽量
19781 -
鴻蒙
+關注
關注
57文章
2369瀏覽量
42900
發布評論請先 登錄
相關推薦
鴻蒙開發:Universal Keystore Kit密鑰管理服務簡介
Universal Keystore Kit(密鑰管理服務,下述簡稱為HUKS)向業務/應用提供
鴻蒙開發:Universal Keystore Kit密鑰管理服務 密鑰生成介紹及算法規格
當業務需要使用HUKS生成隨機密鑰,并由HUKS進行安全保存時,可以調用HUKS的接口生成密鑰。
鴻蒙開發:Universal Keystore Kit密鑰管理服務 生成密鑰ArkTS
以生成DH密鑰為例,生成隨機密鑰。具體的場景介紹及支持的算法規格
鴻蒙開發:Universal Keystore Kit密鑰管理服務 生成密鑰C、C++
以生成ECC密鑰為例,生成隨機密鑰。具體的場景介紹及支持的算法規格。
鴻蒙開發:Universal Keystore Kit密鑰管理服務 明文導入密鑰 ArkTS
分別以導入AES256與RSA2048密鑰為例,具體的場景介紹及支持的算法規格
鴻蒙開發:Universal Keystore Kit 密鑰管理服務 加密導入密鑰 ArkTS
以加密導入ECDH密鑰對為例,涉及業務側加密密鑰的[密鑰生成]、[協商])等操作不在本示例中體現。
鴻蒙開發:Universal Keystore Kit密鑰管理服務 加密導入密鑰C、C++
以加密導入ECDH密鑰對為例,涉及業務側加密密鑰的[密鑰生成]、[協商]等操作不在本示例中體現。
鴻蒙開發:Universal Keystore Kit 密鑰管理服務 密鑰使用介紹及通用流程
為了實現對數據機密性、完整性等保護,可使用生成/導入的密鑰,對數據進行密鑰操作
鴻蒙開發:Universal Keystore Kit密鑰管理服務 簽名、驗簽介紹及算法規格
為實現數據完整性保護和防抵賴,可使用生成/導入的密鑰,對數據進行簽名驗簽操作。
鴻蒙開發:Universal Keystore Kit 密鑰管理服務 密鑰協商 C、C++
以協商密鑰類型為ECDH,并密鑰僅在HUKS內使用為例,完成密鑰協商。具體的場景介紹及支持的算法規格,請參考[
鴻蒙開發:Universal Keystore Kit密鑰管理服務 密鑰派生介紹及算法規格
在密碼學中,密鑰派生函數(Key derivation function,KDF)使用偽隨機函數從諸如主密碼或密碼的秘密值中派生出一個或多個密鑰。
鴻蒙開發:Universal Keystore Kit密鑰管理服務 密鑰派生C、C++
以HKDF256密鑰為例,完成密鑰派生。具體的場景介紹及支持的算法規格,請參考[密鑰生成支持的算法
鴻蒙開發:Universal Keystore Kit密鑰管理服務 密鑰證明介紹及算法規格
HUKS為密鑰提供合法性證明能力,主要應用于非對稱密鑰的公鑰的證明。
鴻蒙開發:Universal Keystore Kit 密鑰管理服務 獲取密鑰屬性ArkTS
HUKS提供了接口供業務獲取指定密鑰的相關屬性。在獲取指定密鑰屬性前,需要確保已在HUKS中生成或導入持久化存儲的密鑰。
工商網監
評論