Cifrado de hardware para datos móviles

Navega tus respuestas
1

Suponga un requisito para crear una aplicación personalizada para teléfonos inteligentes Android o iOS, que enviará y recibirá datos (documentos, correos electrónicos, etc.) a / desde un servidor corporativo, quizás después de la edición local a través de aplicaciones estándar (por ejemplo, Palabra o Powerpoint). Los datos deberán residir en el teléfono inteligente durante ciertos períodos de tiempo.

La aplicación tiene que ser

  • rápido
  • seguro
  • estandarizado

es decir, debería utilizar la mayor cantidad de funcionalidad existente como sea posible.

Parece que, para la parte de la red, HTTPS es una mejor opción que las VPN.

Por lo tanto, un modelo general de operación será que el usuario proporcione las credenciales de autenticación, inicie sesión en el servidor, identifique el documento que desea recuperar y descargue ese documento en el teléfono inteligente. A la inversa, el usuario debe poder cargar el documento desde el almacenamiento del teléfono inteligente, editarlo y enviarlo al servidor.

Basado en lo anterior:

  1. ¿Existe alguna solución de código abierto para la parte del cliente (Android e iOS) de la comunicación cliente-servidor, es decir, una biblioteca de cliente HTTS recomendada?
  2. ¿Es el cifrado de hardware la ruta recomendada para el almacenamiento de datos de teléfonos inteligentes (en términos de rendimiento y seguridad)?
  3. ¿Hay alguna otra parte de la comunicación que deba asegurarse?

¡Gracias!

    
pregunta PNS 03.12.2013 - 12:28
fuente

1 respuesta

1

Question1:

No estoy seguro de esto, supongo que cualquier diseño REST haría si cada aplicación obtiene un token de activación que le permitirá recuperar su identidad (utilizada para la autenticación)

Pregunta 2:

En realidad no lo es. La mayoría de las aplicaciones corporativas utilizan un enfoque diferente. Por ejemplo, si observa GOOD for Enterprise, observará que cifran su almacenamiento local completo en función de la contraseña de un usuario. Si el usuario no puede recordar su contraseña, entonces no puede acceder a la aplicación (no hay opción para restablecer la contraseña).

La clave de cifrado se deriva de la contraseña y el usuario siempre debe proporcionarla para iniciar una sesión. Después de unos momentos de inactividad (5 a 10 minutos), debe bloquear la aplicación nuevamente.

GOOD también va un paso más allá, tres intentos de contraseña incorrectos y su almacenamiento local se borra y su cuenta se invalida para las solicitudes REST.

Pregunta 3:

Nunca use almacenamiento externo, siempre use la memoria interna. Consulte las buenas pautas de seguridad para el desarrollo móvil.

Referencias:

respondido por el Lucas Kauffman 03.12.2013 - 13:40
fuente

Lea otras preguntas en las etiquetas

¿Existe alguna ventaja al aplicar pbkdf2 a una clave que se usa para generar un MAC? ¿Las redes de seguimiento o las redes publicitarias no usan JavaScript y solo realizan un seguimiento basado en la dirección IP? Si es así, ¿cómo se pueden prevenir?