17370845950

本文档介绍了如何在 Android KeyStore 中修改现有 KeyPair 的用途，使其支持密钥协商 (Key Agreement) 操作。通过示例代码展示了如何利用 KeyStore.setEntry 方法在 Android 13 (API 33) 及以上版本中导入 KeyPair 并设置所需的密钥用途属性，解决因缺少 KeyProperties.PURPOSE_AGREE_KEY 属性而导致密钥协商失败的问题。

在 Android 开发中，KeyStore 用于安全地存储密钥。默认情况下，KeyPair 在生成时会设置特定的用途，例如签名 (KeyProperties.PURPOSE_SIGN)。然而，有时我们需要修改 KeyPair 的用途，例如添加密钥协商 (KeyProperties.PURPOSE_AGREE_KEY) 功能。如果直接将通过非 KeyStore 生成的 KeyPair 导入 KeyStore，可能无法满足后续的密钥协商需求，从而导致 java.security.InvalidKeyException: Keystore operation failed 错误。本文将介绍如何在 Android 13 (API 33) 及更高版本中解决这个问题。

解决方案

Android 13 引入了 KeyStore.setEntry 方法，允许我们更灵活地导入 KeyPair 并设置其属性。以下是使用 KeyStore.setEntry 方法导入 KeyPair 并设置 KeyProperties.PURPOSE_AGREE_KEY 属性的示例代码：

import android.security.keystore.KeyProperties;
import android.security.keystore.KeyProtection;

import java.security.KeyStore;
import java.security.KeyStore.PrivateKeyEntry;
import java.security.PrivateKey;
import java.security.cert.Certificate;
import java.security.cert.X509Certificate;

public class KeyStoreHelper {

    public static void importKeyPair(KeyStore ks, String alias, PrivateKey privateKey, X509Certificate[] certificateChain) throws Exception {
        PrivateKeyEntry privateKeyEntry = new PrivateKeyEntry(privateKey, certificateChain);

        ks.setEntry(alias, privateKeyEntry,
                new KeyProtection.Builder(KeyProperties.PURPOSE_AGREE_KEY | KeyProperties.PURPOSE_SIGN)
                        .setDigests(KeyProperties.DIGEST_SHA256, KeyProperties.DIGEST_SHA512)
                        .build());
    }
}

代码解释：

1. 导入必要的类： 导入 KeyProperties 和 KeyProtection 类，用于设置密钥的属性。
2. 创建 PrivateKeyEntry： 使用 PrivateKey 和 certificateChain 创建一个 PrivateKeyEntry 对象。certificateChain 是一个证书链，用于验证密钥的身份。
3. 使用 KeyProtection.Builder 设置密钥属性：
   • KeyProperties.PURPOSE_AGREE_KEY | KeyProperties.PURPOSE_SIGN：设置密钥的用途为密钥协商和签名。 可以通过 | 运算符组合多个用途。
   • setDigests(KeyProperties.DIGEST_SHA256, KeyProperties.DIGEST_SHA512)：设置密钥支持的摘要算法。
4. 使用 ks.setEntry 导入 KeyPair： 使用 KeyProtection 对象将 PrivateKeyEntry 导入到 KeyStore 中。

使用示例：

import java.security.KeyPair;
import java.security.KeyStore;
import java.security.cert.X509Certificate;

public class ExampleUsage {

    public static void main(String[] args) {
        try {
            // 1. 生成 KeyPair（或者从现有途径获取）
            KeyPair keyPair = YourKeyGenerator.genKeyPair(); // 替换为你的 KeyPair 生成方法

            // 2. 创建自签名证书 (如果需要)
            X509Certificate certificate = CertificateManager.generateSelfSignedX509Certificate(keyPair); // 替换为你的证书生成方法
            X509Certificate[] certificateChain = new X509Certificate[]{certificate};

            // 3. 获取 KeyStore 实例
            KeyStore ks = KeyStore.getInstance("AndroidKeyStore");
            ks.load(null, null);

            // 4. 设置 alias
            String alias = "my_key_alias";

            // 5. 导入 KeyPair 到 KeyStore
            KeyStoreHelper.importKeyPair(ks, alias, keyPair.getPrivate(), certificateChain);

            System.out.println("KeyPair 导入成功!");

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

注意事项：

• 确保你的 YourKeyGenerator.genKeyPair() 方法返回一个有效的 KeyPair 对象。
• CertificateManager.generateSelfSignedX509Certificate(keyPair) 方法需要你自行实现，用于生成自签名证书。
• 该方法只适用于 Android 13 (API 33) 及以上版本。在较低版本中，你需要使用其他方法来实现类似的功能，例如使用 KeyStore.setKeyEntry 方法，但需要注意其局限性。
• 如果你的 KeyPair 已经存在于 KeyStore 中，你需要先删除它，然后再使用 KeyStore.setEntry 重新导入。
• CertificateManager 类和 CertificateBuilder 类需要根据你的具体实现进行调整。

总结：

通过使用 KeyStore.setEntry 方法，我们可以方便地在 Android 13 及以上版本中导入 KeyPair 并设置所需的密钥用途属性，从而解决因缺少 KeyProperties.PURPOSE_AGREE_KEY 属性而导致密钥协商失败的问题。 请根据你的实际情况调整代码，并确保你的应用程序在目标 Android 版本上运行。