从 apk 文件反编译的 SSL 证书(.crt)会构成威胁吗?
Can SSL certificate(.crt) decompiled from an apk file be a threat?
要通过 SSL/TLS 使用 https,需要 ssl 证书。
我将证书文件包含在我的 /raw 目录中,并在我的 Retrofit 模块中使用它们。
问题在于攻击者可以通过简单地反编译apk文件来访问/raw目录中的内容。
在这种情况下,使用这些 SSL 证书是否存在任何可能的威胁?
如果是这样,我该怎么做才能防止此类事件发生?
了解 public/private 键的概念将有助于回答这个问题。
public 密钥旨在分发给全世界,因为它不证明身份。它用于加密只有接收者应该知道的数据(私钥的持有者)。
另一方面,私钥确实证明了身份,因此传播它是非常危险的。另一方面,私钥用于签署 (!) 数据,任何用它签署的数据(除非证书被撤销或过期)都是有效的。 public 密钥的持有者可以使用 public 密钥简单地验证数据的有效性。
.crt 文件包含一个 public 密钥(而不是私钥,这就是 .key 文件的用途),因此他们对它无能为力。他们不能用它签署任何东西,这将是危险的一点。
要通过 SSL/TLS 使用 https,需要 ssl 证书。
我将证书文件包含在我的 /raw 目录中,并在我的 Retrofit 模块中使用它们。
问题在于攻击者可以通过简单地反编译apk文件来访问/raw目录中的内容。
在这种情况下,使用这些 SSL 证书是否存在任何可能的威胁?
如果是这样,我该怎么做才能防止此类事件发生?
了解 public/private 键的概念将有助于回答这个问题。
public 密钥旨在分发给全世界,因为它不证明身份。它用于加密只有接收者应该知道的数据(私钥的持有者)。 另一方面,私钥确实证明了身份,因此传播它是非常危险的。另一方面,私钥用于签署 (!) 数据,任何用它签署的数据(除非证书被撤销或过期)都是有效的。 public 密钥的持有者可以使用 public 密钥简单地验证数据的有效性。
.crt 文件包含一个 public 密钥(而不是私钥,这就是 .key 文件的用途),因此他们对它无能为力。他们不能用它签署任何东西,这将是危险的一点。