Android -实现加密IM的最佳方法

Question

我正在为Android创建和端到端加密IM，使用PHP和GCM作为中间传递消息的人。

我已经锁定了IM部分，但现在我希望在所有消息上实现端到端加密。

我的IM是纯文本的，最大有效负载为4kb (最大GCM支持)。

在Android上实现这一点的最佳方法是什么？AES + RSA？

是否有任何默认库以安全和简单的方式实现这一功能？

Answer 1

很难说什么是最好的，解决方案也取决于您希望这有多安全。

1. 修正RSA密钥-你可以生成一个RSA密钥，并使用它们加密流量。然而，这并不能保护会话不受解压缩APK文件和提取RSA密钥的人的影响--尽管您可以尝试通过混淆代码和通过XORing隐藏密钥或使用反射在应用程序上访问密钥来使这一点变得困难。这里有一些相关的建议，也有关于实施这里的问题/答案。
2. 使用SSL的动态加密密钥-要使用的加密密钥分别为每个客户端协商，动态进行。为此，客户端需要信任服务器(即确保他们确实在与您的服务器交谈，而不是其他人的服务器)。这非常类似于SSL，服务器通过提供由第三方签名的证书来证明其身份。如果使用SSL是一个选项，则有一个使用自签名证书这里的答案。
3. 动态加密密钥定制-你可以建立自己的安全方案，但你将不得不使它自己防弹。