web-dev-qa-db-ja.com

Androidキーストアエラー "キーストアにキーを生成できませんでした"

特定のデバイスのキーを生成しようとするとエラーが発生します。 4.4.2を実行しているSamsungGalaxyNoteでエラーを再現できます。

_Java.lang.IllegalStateException: could not generate key in keystore
        at Android.security.AndroidKeyPairGenerator.generateKeyPair(AndroidKeyPairGenerator.Java:100)
        at Java.security.KeyPairGenerator$KeyPairGeneratorImpl.generateKeyPair(KeyPairGenerator.Java:275)
        at com.eric.demo.MainActivity.generateKeyPair(MainActivity.Java:65)
        at com.eric.demo.MainActivity.onClickButton(MainActivity.Java:43)
        at Java.lang.reflect.Method.invokeNative(Native Method)
        at Java.lang.reflect.Method.invoke(Method.Java:515)
        at Android.view.View$1.onClick(View.Java:3964)
        at Android.view.View.performClick(View.Java:4640)
        at Android.view.View$PerformClick.run(View.Java:19421)
        at Android.os.Handler.handleCallback(Handler.Java:733)
        at Android.os.Handler.dispatchMessage(Handler.Java:95)
        at Android.os.Looper.loop(Looper.Java:136)
        at Android.app.ActivityThread.main(ActivityThread.Java:5476)
        at Java.lang.reflect.Method.invokeNative(Native Method)
        at Java.lang.reflect.Method.invoke(Method.Java:515)
        at com.Android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.Java:1268)
        at com.Android.internal.os.ZygoteInit.main(ZygoteInit.Java:1084)
        at de.robv.Android.xposed.XposedBridge.main(XposedBridge.Java:132)
        at dalvik.system.NativeStart.main(Native Method)
_

Android開発者ページ https://developer.Android.com/training/articles/keystore)からコードを1行ずつコピーするだけでキーを生成する小さなアプリを作成しました.html 「新しい秘密鍵の生成」の下。

_ public void onClickButton (View view) {
    try {
        generateKeyPair(this, "test3");
    } catch (Exception e){
        Log.wtf("exception", e);
    }
}

private void generateKeyPair(Context context, String alias)
    throws Exception {
    Calendar cal = Calendar.getInstance();
    Date now = cal.getTime();
    cal.add(Calendar.YEAR, 1);
    Date end = cal.getTime();

    KeyPairGenerator kpg = KeyPairGenerator.getInstance("RSA", "AndroidKeyStore");
    kpg.initialize(new KeyPairGeneratorSpec.Builder(getApplicationContext())
            .setAlias(alias)
            .setStartDate(now)
            .setEndDate(end)
            .setSerialNumber(BigInteger.valueOf(1))
            .setSubject(new X500Principal("CN=test3"))
            .build());

    KeyPair kp = kpg.generateKeyPair();
}
_

このエラーは、AndroidKeyPairGenerator.Java内のkpg.generateKeyPair()で発生しているようです。

_if (!mKeyStore.generate(privateKeyAlias, KeyStore.UID_SELF, keyType,
        mSpec.getKeySize(), mSpec.getFlags(), args)) {
    throw new IllegalStateException("could not generate key in keystore");
}
_

およびKeyStore.Java:

_public boolean generate(String key, int uid, int keyType, int keySize, int flags,
        byte[][] args) {
    try {
        return mBinder.generate(key, uid, keyType, keySize, flags, args) == NO_ERROR;
    } catch (RemoteException e) {
        Log.w(TAG, "Cannot connect to keystore", e);
        return false;
    }
}
_

MBinder.generate()呼び出しは2を返すようです。これは、キーストアがロックされていることを意味しますか?

_// ResponseCodes
public static final int NO_ERROR = 1;
public static final int LOCKED = 2;
public static final int UNINITIALIZED = 3;
public static final int SYSTEM_ERROR = 4;
public static final int PROTOCOL_ERROR = 5;
public static final int PERMISSION_DENIED = 6;
public static final int KEY_NOT_FOUND = 7;
public static final int VALUE_CORRUPTED = 8;
public static final int UNDEFINED_ACTION = 9;
public static final int WRONG_PASSWORD = 10;
_

エラーは、キーストアのこの問題にいくらか関連している可能性があります https://code.google.com/p/Android/issues/detail?id=177459&q=could%20not%20generate%20key%20in%20keystore&colspec= ID%20Type%20Status%20Owner%20Summary%20Stars

私が個別に試したいくつかのことと、次の組み合わせ:
1。暗号化の設定が必要です。結果は別のエラーです:「暗号化が必要な場合は、Androidキーストアを初期化してロック解除した状態にする必要があります」
2。ロック画面の設定(パターン、PIN、NONE、パスワード、スワイプ)。同じ動作
3。プログラムでstartActivity(new Intent("com.Android.credentials.UNLOCK"));またはstartActivity(new Intent("com.Android.credentials.RESET"));を使用して資格情報ストレージのロックを解除またはリセットしようとすると、「資格情報ストレージのパスワードを入力してください」というメッセージが表示されます。このメッセージでは、適切なパスワードが機能せず、資格情報は役に立ちません。

40
Eric

完全な答えはわかりませんが、検索を続行するお手伝いをします。 mBinderの反対側のバインダー実装は ネイティブキーストア です。完全に思い出すと、その動作は、1)ソフトウェアレベルでキー操作をサポートするか、2)OEMが提供するキーマスターライブラリに委任することです。このライブラリは、(おそらく)OEMのハードウェアでバックアップされたキーストアにインターフェイスします。これに関する詳細情報 ここここ 、および ここ

注:すべて1ページを超える3つの記事にリンクしているため、外部リンクのコンテンツを回答に取り込むというSOの通常のポリシーは無視します。また、6ページの回答を投稿するのは少しばかげているようです;- )

2
Hamy
public class EncryptionApi18AndAbove{
    private Context context;
    private KeyStore keyStore;
    private static String alias = "alias";

    public EncryptionApi18AndAbove(Context context) {
        this.context = context;
        try {
            keyStore = KeyStore.getInstance("AndroidKeyStore");
            keyStore.load(null);
        } catch (Exception e) {
           // bla bla
        }
    }

    private String createNewKeys(String alias, Context context) {
        try {
            if (!keyStore.containsAlias(alias)) {
                Calendar start = Calendar.getInstance();
                Calendar end = Calendar.getInstance();
                end.add(Calendar.YEAR, 1);
                KeyPairGeneratorSpec spec = new KeyPairGeneratorSpec.Builder(context)
                        .setAlias(alias)
                        .setSubject(new X500Principal("CN=Sample Name, O=Android Authority"))
                        .setSerialNumber(BigInteger.ONE)
                        .setStartDate(start.getTime())
                        .setEndDate(end.getTime())
                        .build();
                KeyPairGenerator generator = KeyPairGenerator.getInstance("RSA", "AndroidKeyStore");
                generator.initialize(spec);
                generator.initialize(spec);
                generator.generateKeyPair();
            }
        } catch (Exception e) {
            //bla bla
        }
        return alias;
    }

    @Override
    public String encrypt(String text) {
        if (text == null || text.length() == 0) {
            return text;
        }
        try {
            KeyStore.PrivateKeyEntry privateKeyEntry = (KeyStore.PrivateKeyEntry) keyStore.getEntry(createNewKeys(alias, context), null);
            PublicKey publicKey = privateKeyEntry.getCertificate().getPublicKey();
            Cipher inCipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");
            inCipher.init(Cipher.ENCRYPT_MODE, publicKey);

            ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
            CipherOutputStream cipherOutputStream = new CipherOutputStream(
                    outputStream, inCipher);
            cipherOutputStream.write(text.getBytes("UTF-8"));
            cipherOutputStream.close();

            return Base64.encodeToString(outputStream.toByteArray(), Base64.DEFAULT);
        } catch (Exception e) {
            //bla bla
        }
        return text;
    }

    @Override
    public String decrypt(String text) {
        if (text == null || text.length() == 0) {
            return text;
        }
        try {
            KeyStore.PrivateKeyEntry privateKeyEntry = (KeyStore.PrivateKeyEntry) keyStore.getEntry(createNewKeys(alias, context), null);
            PrivateKey privateKey = privateKeyEntry.getPrivateKey();

            Cipher output = Cipher.getInstance("RSA/ECB/PKCS1Padding");
            output.init(Cipher.DECRYPT_MODE, privateKey);

            CipherInputStream cipherInputStream = new CipherInputStream(
                    new ByteArrayInputStream(Base64.decode(text, Base64.DEFAULT)), output);
            ArrayList<Byte> values = new ArrayList<>();
            int nextByte;
            while ((nextByte = cipherInputStream.read()) != -1) {
                values.add((byte) nextByte);
            }
            byte[] bytes = new byte[values.size()];
            for (int i = 0; i < bytes.length; i++) {
                bytes[i] = values.get(i).byteValue();
            }
            return new String(bytes, 0, bytes.length, "UTF-8");

        } catch (Exception e) {
            // bla bla
        }
        return text;
    }
}

このクラスを使用できます。これは、SDK18以降で動作します。 Androidキーストアキーを作成し、単純なテキストを復号化して暗号化できます。

2

コードに問題がない場合は、キーストアが機能し始めるように、デバイスのPIN/PW /指紋(セキュアロック解除)を設定する必要があることを忘れないでください。キーペアを生成しようとすると、単純なスワイプでこのようなエラーが発生します。

0
user7487817