Реалізація шифрування локальних даних у мобільному додатку

TRUETECH займається розробкою, підтримкою та обслуговуванням мобільних додатків iOS, Android, PWA. Маємо великий досвід та експертизу для публікації мобільних додатків до популярних маркетів Google Play, App Store, Amazon, AppGallery та інші.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів

Розробка та підтримка будь-яких видів мобільних додатків:

Інформаційні та розважальні мобільні програми
Новинки, ігри, довідники, онлайн-каталоги, погодні, фітнес та здоров'я, туристичні, освітні, соціальні мережі та месенджери, квіз, блоги та подкасти, форуми, агрегатори
Мобільні програми електронної комерції
Інтернет-магазини, B2B-додатки, маркетплейси, онлайн-обмінники, кешбек-сервіси, біржі, дропшиппінг-платформи, програми лояльності, доставка їжі та товарів, платіжні системи
Мобільні програми для управління бізнес-процесами
CRM-системи, ERP-системи, управління проектами, інструменти для команди продажів, облік фінансів, управління виробництвом, логістика та доставка, управління персоналом, системи моніторингу даних
Мобільні програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, платформи надання електронних послуг, платформи кешбеку, відеохостинги, тематичні портали, платформи онлайн-бронювання та запису, платформи онлайн-торгівлі

Це лише деякі з типів мобільних додатків, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Послуги, які ми пропонуємо
Показано 1 з 1Усі 1735 послуг
Реалізація шифрування локальних даних у мобільному додатку
Складний
~3-5 днів
Часті запитання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_mobile-applications_feedme_467_0.webp
    Розробка мобільного додатка для компанії FEEDME
    792
  • image_mobile-applications_xoomer_471_0.webp
    Розробка мобільного додатку для компанії XOOMER
    671
  • image_mobile-applications_rhl_428_0.webp
    Розробка мобільного додатку для компанії RHL
    1097
  • image_mobile-applications_zippy_411_0.webp
    Розробка мобільного додатку для компанії ZIPPY
    969
  • image_mobile-applications_affhome_429_0.webp
    Розробка мобільного додатку для компанії Affhome
    914
  • image_mobile-applications_flavors_409_0.webp
    Розробка мобільного додатку для компанії FLAVORS
    495
Показати більше робіт

Реалізація шифрування локальних даних у мобільних додатках

SQLite-база без шифрування на Android — просто файл. adb pull /data/data/com.yourapp/databases/app.db на рутованому пристрої, і всі дані користувачів читаються будь-яким SQLite-браузером. На iOS ситуація трохи краща завдяки Data Protection API, але тільки якщо розробник не забув встановити правильний NSFileProtectionKey — а це забувають часто.

Що і чим шифруємо

Завдання ділиться на три незалежні шари: база даних, файли, секрети.

База даних. Стандарт — SQLCipher. Форк SQLite з прозорим AES-256 шифруванням на рівні сторінок. На Android підключається через net.zetetic:android-database-sqlcipher, на iOS через SQLCipher.xcframework. Room на Android вміє працювати з SQLCipher через SupportOpenHelperFactory — перемикання займає буквально заміну фабрики в Room.databaseBuilder() та додавання ключа. Ключ генерується один раз, зберігається в Keystore/Keychain, ніколи не зберігається у SharedPreferences або UserDefaults у відкритому вигляді.

При першому запуску на Android:

val key = generateAes256Key() // через KeyGenerator з KeyStore provider
val encryptedKey = encryptWithKeystore(key) // RSA/AES через AndroidKeyStore
prefs.putString("db_key_enc", Base64.encode(encryptedKey))

Потім при кожному відкритті бази розшифровуємо ключ та передаємо його SQLCipher. Без PRAGMA key база просто не відкривається.

Файли. Для зображень, PDF, кешу — AES-256-GCM через javax.crypto.Cipher на Android або CryptoKit.AES.GCM на iOS (Swift 5.5+). GCM важливий: він дає і конфіденціальність, і аутентифікацію цілісності. CBC без MAC — поганий вибір, вразливий до padding-атак.

На Flutter зручні пакети flutter_secure_storage для секретів та encrypt для файлів, але під капотом обидва використовують ті ж нативні API — обгортки, не заміна.

Секрети (API-ключі, токени). Тільки Keychain (iOS) та Android Keystore. Не UserDefaults, не SharedPreferences, не AsyncStorage у React Native. Keychain на iOS шифрується ключами, привязаними до Secure Enclave; Keystore на Android з API 23+ привязує ключі до TEE або SE — експортувати їх неможливо навіть рутом.

Типові помилки, які ломають всю схему

Перша — неправильний клас захисту на iOS. FileProtectionType.complete означає: файл недоступний, поки пристрій заблокований. Але якщо додаток отримує push-уведомлення у фоні та пробує читати базу — крах. Розробники в паніці змінюють на completeUnlessOpen або взагалі видаляють захист. Правильне рішення — розділити дані: критичні під .complete, фонові операції під .completeUnlessOpen.

Друга — зберігання ключа рядом з даними. Я бачив кейси, де ключ шифрування бази лежав у тій же директорії, що й зашифрована база, просто у файлі key.bin. Це не шифрування, це переrename.

Третя — використання пароля користувача напрямки як ключа. AES вимагає 128 або 256 бітів. Пароль «qwerty123» — це не ключ. Потрібен KDF: PBKDF2 з мінімум 100 000 ітерацій або Argon2id. На iOS — CommonCrypto.CCKeyDerivationPBKDF, на Android — SecretKeyFactory з PBKDF2WithHmacSHA256.

Інтеграція з біометрією

Просунутий варіант — ключ шифрування бази захищений біометрією через Keystore/Keychain. На Android: KeyGenParameterSpec.Builder з .setUserAuthenticationRequired(true) та .setUserAuthenticationParameters(0, KeyProperties.AUTH_BIOMETRIC_STRONG). Ключ створюється один раз при першому вході з біометрією, потім при кожному відкритті додатку користувач проходить аутентифікацію, ключ розблоковується з Keystore, база відкривається.

На iOS аналогічно через kSecAttrAccessControl з SecAccessControlCreateWithFlags та флагом .biometryAny або .biometryCurrentSet. Різниця: .biometryCurrentSet інвалідує ключ при додаванні нових відпечатків — важливо для банківських додатків.

Процес

Починаємо з інвентаризації: що й де зберігається, є ли вже шифрування, які дані підпадають під вимоги (PCI DSS, GDPR, локальні нормативи). Далі — вибір схеми ключів, реалізація шару шифрування, інтеграція з існуючим сховищем. Окремо — тестування сценаріїв: оновлення додатку, відновлення із бекапу, змінення біометрії користувачем.

Термін залежить від обсягу даних та наявності існуючої схеми зберігання. Якщо база вже існує та потрібна міграція на SQLCipher — 3–5 днів із врахуванням тестування. Шифрування файлового кешу та Keychain-інтеграція — додатково 1–2 дні. Повна схема з нуля для нового проекту — швидше.