Block.one всегда стремится расширить спектр решений для обеспечения безопасности приложений, построенных на EOSIO. Для защиты конфиденциальных данных требуются надёжные методы хранения и поиска, а для процветания экосистемы блокчейн-приложений критическое значение имеет защита приватных ключей. Последняя версия нашего ПО ориентирована на обеспечение безопасности приватных ключей на Android-устройствах.
Ранее мы уже выпускали комплекты для разработки программного обеспечения (software development kits – SDK) для Swift и Java, которые поддерживают быструю разработку блокчейн-приложений EOSIO на мобильных платформах. Эта альфа-версия нашего провайдера подписей Android Keystore основана на нашем EOSIO SDK для Java, что позволяет разработчикам создавать поддерживаемые на аппаратном уровне хранилища ключей в мобильных приложениях на операционных системах Android. Если аппаратная опция недоступна, ключи по умолчанию будут переведены в безопасную среду программного контейнера.
Инструменты, улучшающие управление приватными ключами
Ранее мы ввели концепцию провайдеров подписей в качестве руководства к действию для сообщества разработчиков, мотивирующего внедрить более эффективные методы защиты приватных ключей. Данные плагины демонстрируют, как можно ограничить уязвимости, подписывая транзакции без раскрытия приватных ключей. В конечном счёте, при наличии правильной реализации и инструментов, разработчики смогут улучшить пользовательский опыт, избегая излишней обработки ключей.
Плагин Android Keystore позволяет разработчикам хранить криптографические ключи в защищенном контейнере на устройстве, что значительно затрудняет их извлечение. Когда ключи находятся в хранилище, их можно использовать для подписания транзакций, не демонстрируя внешним приложениям.
Предполагается, что увидеть приватный ключ не сможет никто, кроме защищенного оборудования, даже сам пользователь, при условии, что ключи хранятся на Android-устройстве, поддерживающем аппаратное хранилище ключей. Это аппаратное решение должно обеспечивать превосходную степень безопасности в отличие от таких альтернатив, как резервное копирование на компьютере, менеджер паролей или даже простой лист бумаги.
Этот плагин для Android Keystore похож на наш более ранний релиз поддержки Apple Secure Enclave, поскольку он так же позволяет разработчикам хранить приватные ключи на устройстве, а сам плагин только управляет ключами и подписанием транзакций. Эта мера в сочетании с биометрической аутентификацией непосредственно на устройстве обеспечивает простой и безопасный вариант управления ключами.
Предоставление пользователям более удобного способа подписания транзакций без раскрытия их ключей заметно улучшит пользовательский интерфейс и уровень безопасности, помогая ускорить распространение блокчейн-приложений. Следуйте инструкциям в репозитории плагина провайдера подписей Android Keystore, чтобы понять, как извлекать и преобразовывать открытые ключи из Android Keystore с помощью библиотеки EOSIO SDK для Java.
Оставайтесь на связи
Вклад каждого участника экосистемы дает нам ценную информацию, тем самым обеспечивая рост и задавая темп развития платформы EOSIO. Если вы хотите поделиться своим мнением или начать более тесно сотрудничать с нашей командой по улучшению EOSIO для разработчиков, вы можете отправить нашей команде по связям с разработчиками письмо по адресу [email protected].
Помните, что вы также можете оставаться в курсе всех новостей, подписавшись на рассылку на новом веб-сайте EOSIO.
Оригинал поста: ЗДЕСЬ