Hi, ich habe Probleme, die Begriffe Trust Anchor, Network Security Configuration und Trusted Certificate Store zueinander in Kontext zu setzen. Kann mir da jmd auf die Sprünge helfen?
Grundlagenwissen hier: https://de.wikipedia.org/wiki/Public-Key-Infrastruktur "Trust Anchor" sind die CAs, denen dein Betriebsystem (egal ob Android oder was anderes) oder Browser oder $Whatever vertraut. Von da aus kommst du dann selber drauf, was deine zwei anderen Schlagworte damit zu tun haben könnten.
Android hat seit ein paar Versionen die Netzwerkverwendungsrichtlinien angepasst. Früher war es möglich ohne weitere Konfigurationen Daten unverschlüsselt über Http zu empfangen (man musste nur Permission Internet ins Manifest eintragen und alles klappte). Will man heute in einer App unverschlüsselt kommunizieren oder besondere Sicherheitsvorkehrungen eintragen, benötigt man eine Network Security Config (NSC). Diese XML-Datei wird mit in die Apk gebaut und in der Manifest-Datei eingetragen. In der NSC kann ich als Entwickler auch die sogenannten Trust Anchor eintragen (oder auch cleartext-traffic erlauben). Trust Anchor sind also hard-gecodete Zertifikate in der NSC. Die Zertifikate sind also verankert der App/Apk. Will ein Angreifer diese austauschen muss er die Apk decompilen, das Zertifikat austauschen und wieder kompilieren. Aber hier greift der Signaturmechanismus, der Angreifer kennt den PrivateKey des Entwicklers nicht, somit kann er zwar die App kompilieren, aber dem Appstore oder einem Nutzer wird die falsche Signatur bei der Installation angezeigt. Der Trusted Certificate Store (TCS) liegt auf dem Android-Gerät und steht dem System sowie allen Apps zur Verfügung. (Der Nutzer kann auch weitere Zertifikate hinzufügen.) Verwendet das Backend Zertifikate, die durch öffentliche Zertifizierungsstellen ausgeschrieben wurden, funktioniert die HttpS-Verbindung aus der App direkt (weil das Root-Zertifikat der Zertifizierungsstelle bereits im TCS des Gerätes vorhanden ist). Verwendet man Self-Signed-Zertifikate ist das Root-Zertifikat nicht auf dem Gerät vorhanden, Https-Verbindungen werden also scheitern. Um dies zu beheben, benötigt man wiederum die NSC, in der man das Self-Signed- oder das Root-Zertifikat einträgt.
Hallo Antonow B. schrieb: > Danke für die sehr hilfreichen Antworte. Ironie ? -Ich denke schon... Hast du das ;-) vergessen? -Mir scheint es so... Weil diese Antworten sind leider nichts Wert. Auch die wohl gutgemeinte Antwort von Antonow B. der leider (was aber verzeichlich ist) in die Falle von so vielen Wissenden und Experten gefallen ist und eine Antwort mit 1001 nicht erläuterten Fachbegriffen gegeben hat die Leute wie es der TO wohl ist nur noch mehr verwirren... Klar man kann so ein Thema nicht in zwei Sätzen anhandeln, aber trotzem... Irgendjemand
Ach ja - leider kann ich dir auch fachlich nicht helfen - finde die Frage aber als (jetzt nicht mehr) stiller Mitleser sehr interessant und potentiell nützlich für meine zukünftigen Belange...
Leute...wofür ist das Forum da???? Oder hat keiner nh Ahnung von?
Antonow B. schrieb: > wofür ist das Forum da???? Mikrocontroller und Elektronik. Also nichts, was mit deiner Frage zu tun hätte.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.