Ta strona została przetłumaczona przez Cloud Translation API.

Zabezpieczone potwierdzenie w Androidzie

Aby pomóc Ci potwierdzić intencje użytkowników podczas inicjowania transakcji poufnych, takich jak dokonywanie płatności, obsługiwane urządzenia z Androidem 9 (poziom interfejsu API 28) lub nowszym umożliwiają korzystanie z funkcji Zabezpieczone potwierdzenie w Androidzie. Gdy używasz tego workflow, aplikacja wyświetla użytkownikowi prośbę o zatwierdzenie krótkiego oświadczenia, które potwierdza jego zamiar dokonania transakcji związanej z danymi wrażliwymi.

Jeśli użytkownik zaakceptuje oświadczenie, aplikacja może użyć klucza z Keystore Androida do podpisania wiadomości wyświetlanej w oknie dialogowym. Podpis z bardzo dużym prawdopodobieństwem wskazuje, że użytkownik zapoznał się z oświadczeniem i z nim zgodził.

Uwaga: potwierdzenie chronione przez Androida nie zapewnia użytkownikowi bezpiecznego kanału informacji. Twoja aplikacja nie może zapewniać żadnych gwarancji poufności wykraczających poza te, które oferuje platforma Android. W szczególności nie używaj tego procesu do wyświetlania poufnych informacji, których nie wyświetlasz zwykle na urządzeniu użytkownika.

Gdy użytkownik potwierdzi wiadomość, jej integralność jest zapewniona, ale aplikacja musi nadal szyfrować dane w transmisji, aby chronić poufność podpisanej wiadomości.

Aby zapewnić w aplikacji obsługę potwierdzenia tożsamości użytkownika o wysokim poziomie zabezpieczeń:

Wygeneruj klucz podpisywania asymetrycznego za pomocą klasy KeyGenParameterSpec.Builder. Podczas tworzenia klucza prześlij parametr true do parametru setUserConfirmationRequired(). Ponadto wywołaj funkcję setAttestationChallenge(), podając odpowiednią wartość wyzwania dostarczoną przez stronę pobierającą.
Zarejestruj nowo wygenerowany klucz i certyfikat uwierzytelnienia klucza w odpowiedniej stronie ufającej.
Wyślij szczegóły transakcji na serwer, który wygeneruje i zwróci duży obiekt binarny (BLOB) z dodatkowymi danymi. Dodatkowe dane mogą obejmować dane do potwierdzenia lub wskazówki dotyczące analizowania, takie jak ustawienia regionalne ciągu prompta.

Aby zapewnić bezpieczniejszą implementację, BLOB musi zawierać losowy ciąg znaków kryptograficznych (nonce) w celu ochrony przed atakami typu replay i rozróżniania transakcji.

Uwaga: jeśli dodatkowe pole danych zawiera dane do potwierdzenia, strona ufająca musi zweryfikować równoważne dane wysłane z promptem. Android Protected Confirmation nie renderuje dodatkowych danych, więc Twoja aplikacja nie może zakładać, że użytkownik potwierdził te dane.
Skonfiguruj obiekt ConfirmationCallback, który informuje aplikację, gdy użytkownik zaakceptuje prompt wyświetlany w oknie potwierdzenia:
Kotlin
```
class MyConfirmationCallback : ConfirmationCallback() {

      override fun onConfirmed(dataThatWasConfirmed: ByteArray?) {
          super.onConfirmed(dataThatWasConfirmed)
          // Sign dataThatWasConfirmed using your generated signing key.
          // By completing this process, you generate a signed statement.
      }

      override fun onDismissed() {
          super.onDismissed()
          // Handle case where user declined the prompt in the
          // confirmation dialog.
      }

      override fun onCanceled() {
          super.onCanceled()
          // Handle case where your app closed the dialog before the user
          // responded to the prompt.
      }

      override fun onError(e: Exception?) {
          super.onError(e)
          // Handle the exception that the callback captured.
      }
  }
```
Java
```
public class MyConfirmationCallback extends ConfirmationCallback {

  @Override
  public void onConfirmed(@NonNull byte[] dataThatWasConfirmed) {
      super.onConfirmed(dataThatWasConfirmed);
      // Sign dataThatWasConfirmed using your generated signing key.
      // By completing this process, you generate a signed statement.
  }

  @Override
  public void onDismissed() {
      super.onDismissed();
      // Handle case where user declined the prompt in the
      // confirmation dialog.
  }

  @Override
  public void onCanceled() {
      super.onCanceled();
      // Handle case where your app closed the dialog before the user
      // responded to the prompt.
  }

  @Override
  public void onError(Throwable e) {
      super.onError(e);
      // Handle the exception that the callback captured.
  }
}
```
Jeśli użytkownik zatwierdzi okno, wywoływana jest funkcja onConfirmed(). BLOB dataThatWasConfirmed to struktura danych CBOR, która zawiera m.in. tekst promptu wyświetlany użytkownikowi oraz dodatkowe dane przekazane do funkcji tworzenia ConfirmationPrompt. Użyj utworzonego wcześniej klucza, aby podpisać BLOB dataThatWasConfirmed, a następnie prześlij ten BLOB wraz z podpisem i szczegółami transakcji do strony ufającej.

Uwaga: klucz został utworzony za pomocą parametru setUserConfirmationRequired(), więc można go używać tylko do podpisywania danych zwracanych przez parametr dataThatWasConfirmed. Próba podpisania innych danych kończy się niepowodzeniem.

Aby w pełni korzystać z zapewnionego przez Android Protected Confirmation poziomu bezpieczeństwa, po otrzymaniu podpisanej wiadomości strona korzystająca z usługi musi wykonać te czynności:
1. Sprawdź podpis nad wiadomością oraz łańcuch certyfikatów poświadczenia klucza podpisywania.
2. Sprawdź, czy certyfikat atesta ma ustawiony flagę TRUSTED_CONFIRMATION_REQUIRED, która wskazuje, że klucz podpisywania wymaga potwierdzenia przez zaufanego użytkownika. Jeśli klucz podpisywania to klucz RSA, sprawdź, czy nie ma właściwości PURPOSE_ENCRYPT lub PURPOSE_DECRYPT.
3. Sprawdź extraData, aby upewnić się, że ta wiadomość z potwierdzeniem dotyczy nowej prośby i nie została jeszcze przetworzona. Ten krok chroni przed atakami polegającymi na odtwarzaniu pakietów danych.
4. Przeanalizuj odpowiedź promptText, aby uzyskać informacje o potwierdzonym działaniu lub żądaniu. Pamiętaj, że promptText to jedyna część wiadomości, którą użytkownik faktycznie potwierdził. Użytkownik nie może zakładać, że dane do potwierdzenia zawarte w extraData odpowiadają promptText.

Aby wyświetlić sam dialog, dodaj logikę podobną do tej w następującym fragmencie kodu:

Kotlin

// This data structure varies by app type. This is an example.
  data class ConfirmationPromptData(val sender: String,
          val receiver: String, val amount: String)

  val myExtraData: ByteArray = byteArrayOf()
  val myDialogData = ConfirmationPromptData("Ashlyn", "Jordan", "$500")
  val threadReceivingCallback = Executor { runnable -> runnable.run() }
  val callback = MyConfirmationCallback()

  val dialog = ConfirmationPrompt.Builder(context)
          .setPromptText("${myDialogData.sender}, send
                          ${myDialogData.amount} to
                          ${myDialogData.receiver}?")
          .setExtraData(myExtraData)
          .build()
  dialog.presentPrompt(threadReceivingCallback, callback)

Java

  // This data structure varies by app type. This is an example.
  class ConfirmationPromptData {
      String sender, receiver, amount;
      ConfirmationPromptData(String sender, String receiver, String amount) {
          this.sender = sender;
          this.receiver = receiver;
          this.amount = amount;
      }
  };
  final int MY_EXTRA_DATA_LENGTH = 100;
  byte[] myExtraData = new byte[MY_EXTRA_DATA_LENGTH];
  ConfirmationPromptData myDialogData = new ConfirmationPromptData("Ashlyn", "Jordan", "$500");
  Executor threadReceivingCallback = Runnable::run;
  MyConfirmationCallback callback = new MyConfirmationCallback();
  ConfirmationPrompt dialog = (new ConfirmationPrompt.Builder(getApplicationContext()))
          .setPromptText("${myDialogData.sender}, send ${myDialogData.amount} to ${myDialogData.receiver}?")
          .setExtraData(myExtraData)
          .build();
  dialog.presentPrompt(threadReceivingCallback, callback);

Dodatkowe materiały

Więcej informacji o funkcji Potwierdzenie chronione na Androida znajdziesz w tych materiałach.

Blogi

Zabezpieczone potwierdzenie w Androidzie: bezpieczeństwo transakcji na wyższym poziomie