Básicamente, me gustaría usar el almacén de claves de Android para firmar solicitudes que van a un servidor desde un teléfono con Android. Mi objetivo es tener una forma de verificar el origen de la solicitud.
¿Ofrece Android Keystore de todos modos para que el receptor de la solicitud verifique que una clave específica provenía de Android Keystore con un hardware / ID de dispositivo específico en lugar de un par de claves generado desde OpenSSL, por ejemplo.
Es dudoso que su protocolo de firma pueda transmitir esos metadatos. En lo que se documenta, la clave pública de un par de claves generado en el almacén de claves de Android no contiene patrones reveladores que lo identificarían como tal, ni tal característica sería necesariamente deseable desde un punto de vista de seguridad. Finalmente, tales metadatos necesitarían autenticarse para ser confiados, lo que crea una estructura de confianza muy complicada que sería difícil de mantener. - James K Polk, el 5 de noviembre a las 20:09
Lea otras preguntas en las etiquetas public-key-infrastructure certificate-authority android key-generation