生成无法导出的私钥-Generateprivatekeythatcannotbeexported

作者：Kanxsg | 来源：互联网 | 2023-08-16 14:47

IwanttogenerateakeypaironaniPhonesuchthattheprivatekeycanonlyeverbeusedtosignb

I want to generate a key pair on an iPhone such that the private key can only ever be used to sign blocks of data on that particular iPhone.

我想在iPhone上生成密钥对，这样私钥就只能用于在特定iPhone上签署数据块。

The SecKeyGeneratePair function looks promising. I can generate a key pair to the keychain (using kSecAttrIsPermanent) and I can disable decryption, derivation and unwrapping with the private key (setting kSecAttrCanDecrypt, kSecAttrCanDerive and kSecAttrCanUnwrap to false).

SecKeyGeneratePair函数看起来很有前途。我可以为钥匙串生成密钥对（使用kSecAttrIsPermanent），我可以使用私钥禁用解密，派生和解包（将kSecAttrCanDecrypt，kSecAttrCanDerive和kSecAttrCanUnwrap设置为false）。

Two things worry me about key pairs generated with SecKeyGeneratePair:

有两件事让我担心使用SecKeyGeneratePair生成的密钥对：

Is it possible to export the private key outside of the keychain into application memory?
是否可以将钥匙串外的私钥导出到应用程序内存中？
Is it possible to change a key property (e.g. set kSecAttrCanDecrypt to true) after a private key has been created?
是否可以在创建私钥后更改密钥属性（例如，将kSecAttrCanDecrypt设置为true）？

2 个解决方案

#1

This article provides more details (compared to other answers in this thread):

本文提供了更多详细信息（与此主题中的其他答案相比）：

SecGenerateKeyPair(), which is used to generate RSA and ECDSA key pairs, can now be configured to directly store the generated private key in the device’s Keychain (within the Secure Enclave). This means that the private key can be used without ever leaving the device’s Secure Enclave.

SecGenerateKeyPair（）用于生成RSA和ECDSA密钥对，现在可以配置为将生成的私钥直接存储在设备的Keychain中（在Secure Enclave中）。这意味着可以在不离开设备的Secure Enclave的情况下使用私钥。

And the important addition:

而重要的补充：

The kSecAttrTokenIDSecureEnclave attribute needs to be used when generating the key pair.

生成密钥对时需要使用kSecAttrTokenIDSecureEnclave属性。

If you don't specify this attribute the private key will be accessible even on iOS9.

如果您未指定此属性，即使在iOS9上也可以访问私钥。

#2

To answer the first question, the private key cannot be retrieved according to this source:

要回答第一个问题，根据此来源无法检索私钥：

One API call, SecKeyGeneratePair(), creates a public and private key. The public key is returned to the app, and the private key is sent directly to the Secure Enclave. This private key cannot be retrieved.

一个API调用SecKeyGeneratePair（）创建公钥和私钥。公钥将返回到应用程序，私钥将直接发送到Secure Enclave。无法检索此私钥。

More information is available here:

更多信息请点击这里：

The supported keys are Elliptic Curve P256, the private key is not extractible in any form, even protected, and the applications are RawSign and RawVerify.

支持的键是Elliptic Curve P256，私钥不能以任何形式提取，甚至受保护，应用程序是RawSign和RawVerify。

推荐阅读

function
Html5-Canvas实现简易的抽奖转盘效果

本文介绍了如何使用Html5和Canvas标签来实现简易的抽奖转盘效果，同时使用了jQueryRotate.js旋转插件。文章中给出了主要的html和css代码，并展示了实现的基本效果。 ... [详细]

蜡笔小新 2023-12-13 06:02:20
import
开发笔记:加密&json&StringIO模块&BytesIO模块

篇首语：本文由编程笔记#小编为大家整理，主要介绍了加密&json&StringIO模块&BytesIO模块相关的知识，希望对你有一定的参考价值。一、加密加密 ... [详细]

蜡笔小新 2023-12-14 15:18:35
import
wepy小顺序受权点击作废受权失利的计划

本文介绍了在wepy中运用小顺序页面受权的计划，包含了用户点击作废后的从新受权计划。 ... [详细]

蜡笔小新 2023-12-12 11:09:24
import
vue-awesome-swiper的使用

本文介绍了如何使用vue-awesome-swiper组件，包括在main.js中引入和使用swiper和swiperSlide组件，以及设置options和ref属性。同时还介绍了如何在模板中使用swiper和swiperSlide组件，并展示了如何通过循环渲染swipes数组中的数据，并使用picUrl属性显示图片。最后还介绍了如何添加分页器。 ... [详细]

蜡笔小新 2023-12-11 19:35:32
rsa
在Mac上安装Xamarin，实现在Windows上开发iOS app的方法

本文介绍了在Mac上安装Xamarin并使用Windows上的VS开发iOS app的方法，包括所需的安装环境和软件，以及使用Xamarin.iOS进行开发的步骤。通过这种方法，即使没有Mac或者安装苹果系统，程序员们也能轻松开发iOS app。 ... [详细]

蜡笔小新 2023-12-11 19:13:35
perl
Nginx使用AWStats日志分析的步骤及注意事项

本文介绍了在Centos7操作系统上使用Nginx和AWStats进行日志分析的步骤和注意事项。通过AWStats可以统计网站的访问量、IP地址、操作系统、浏览器等信息，并提供精确到每月、每日、每小时的数据。在部署AWStats之前需要确认服务器上已经安装了Perl环境，并进行DNS解析。 ... [详细]

蜡笔小新 2023-12-14 19:42:01
include
vue使用

关键词： ... [详细]

蜡笔小新 2023-12-14 19:14:56
function
JS进修笔记——闭包的运转机制和作用域

本文介绍了闭包的定义和运转机制，重点解释了闭包如何能够接触外部函数的作用域中的变量。通过词法作用域的查找规则，闭包可以访问外部函数的作用域。同时还提到了闭包的作用和影响。 ... [详细]

蜡笔小新 2023-12-14 18:45:00
rsa
Linux服务器密码过期策略、登录次数限制、私钥登录等配置方法

本文介绍了在Linux服务器上进行密码过期策略、登录次数限制、私钥登录等配置的方法。通过修改配置文件中的参数，可以设置密码的有效期、最小间隔时间、最小长度，并在密码过期前进行提示。同时还介绍了如何进行公钥登录和修改默认账户用户名的操作。详细步骤和注意事项可参考本文内容。 ... [详细]

蜡笔小新 2023-12-14 17:57:01
select
javascript – 概述在Firefox上无法正常工作

我试图提出一些自定义大纲,以达到一些Web可访问性建议.但我不能用Firefox制作.这就是它在Chrome上的外观：而那个图标实际上是一个锚点.在Firefox上,它只概述了整个 ... [详细]

蜡笔小新 2023-12-14 10:20:38
import
python创建一个窗口_等一个大佬啊要求用python创建一个窗口，窗口按钮功能是创建一个球体或立方体。明天上课之前交给我...

展开全部下面的代码是创建一个立方体Thisexamplescreatesanddisplaysasimplebox.#Thefirstlineloadstheinit_disp ... [详细]

蜡笔小新 2023-12-13 16:26:09
import
不同优化算法的比较分析及实验验证

本文介绍了神经网络优化中常用的优化方法，包括学习率调整和梯度估计修正，并通过实验验证了不同优化算法的效果。实验结果表明，Adam算法在综合考虑学习率调整和梯度估计修正方面表现较好。该研究对于优化神经网络的训练过程具有指导意义。 ... [详细]

蜡笔小新 2023-12-13 16:05:14
function
React项目中运用React技巧解决实际问题的总结

本文总结了在React项目中如何运用React技巧解决一些实际问题，包括取消请求和页面卸载的关联，利用useEffect和AbortController等技术实现请求的取消。文章中的代码是简化后的例子，但思想是相通的。 ... [详细]

蜡笔小新 2023-12-12 11:31:15
import
MPLS VP恩后门链路shamlink实验及配置步骤

本文介绍了MPLS VP恩后门链路shamlink的实验步骤及配置过程，包括拓扑、CE1、PE1、P1、P2、PE2和CE2的配置。详细讲解了shamlink实验的目的和操作步骤，帮助读者理解和实践该技术。 ... [详细]

蜡笔小新 2023-12-12 00:07:58
java
vue cli 3.x移除console采坑记

本文记录了在vue cli 3.x中移除console的一些采坑经验，通过使用uglifyjs-webpack-plugin插件，在vue.config.js中进行相关配置，包括设置minimizer、UglifyJsPlugin和compress等参数，最终成功移除了console。同时，还包括了一些可能出现的报错情况和解决方法。 ... [详细]

蜡笔小新 2023-12-11 21:16:05

Kanxsg

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章