安卓密钥库密码泄露

Question

我们开发Android应用程序，并且错误地在定制的Android项目文件夹中发送字符串给几个客户端：

• keyAlias
• keyPassword
• storePassword

.keystore文件本身没有发布。keystore曾经用于签署1款应用程序，现在已经在Google上运行了。就安全而言，这意味着什么？我们是否必须同时创建新的密钥存储库和密码，或者重新发布市场上的应用程序？

Answer 1

由于风险只暴露在少数几个客户身上，所以风险可能很低。话虽如此，我还是会在谨慎的立场上犯错，把私钥当作是被泄露的。这意味着撤销签名证书并创建一个新证书。(撤销前签署的申请将继续有效。)

如果您想采取不那么谨慎的路线，您可以为密钥和密钥存储库创建新的密码。