Реалізація безпечного зберігання ключів у StrongBox/TEE (Android) для криптогаманця

TRUETECH займається розробкою, підтримкою та обслуговуванням мобільних додатків iOS, Android, PWA. Маємо великий досвід та експертизу для публікації мобільних додатків до популярних маркетів Google Play, App Store, Amazon, AppGallery та інші.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів

Розробка та підтримка будь-яких видів мобільних додатків:

Інформаційні та розважальні мобільні програми
Новинки, ігри, довідники, онлайн-каталоги, погодні, фітнес та здоров'я, туристичні, освітні, соціальні мережі та месенджери, квіз, блоги та подкасти, форуми, агрегатори
Мобільні програми електронної комерції
Інтернет-магазини, B2B-додатки, маркетплейси, онлайн-обмінники, кешбек-сервіси, біржі, дропшиппінг-платформи, програми лояльності, доставка їжі та товарів, платіжні системи
Мобільні програми для управління бізнес-процесами
CRM-системи, ERP-системи, управління проектами, інструменти для команди продажів, облік фінансів, управління виробництвом, логістика та доставка, управління персоналом, системи моніторингу даних
Мобільні програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, платформи надання електронних послуг, платформи кешбеку, відеохостинги, тематичні портали, платформи онлайн-бронювання та запису, платформи онлайн-торгівлі

Це лише деякі з типів мобільних додатків, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Послуги, які ми пропонуємо
Показано 1 з 1Усі 1735 послуг
Реалізація безпечного зберігання ключів у StrongBox/TEE (Android) для криптогаманця
Складний
~3-5 днів
Часті запитання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_mobile-applications_feedme_467_0.webp
    Розробка мобільного додатка для компанії FEEDME
    792
  • image_mobile-applications_xoomer_471_0.webp
    Розробка мобільного додатку для компанії XOOMER
    671
  • image_mobile-applications_rhl_428_0.webp
    Розробка мобільного додатку для компанії RHL
    1097
  • image_mobile-applications_zippy_411_0.webp
    Розробка мобільного додатку для компанії ZIPPY
    969
  • image_mobile-applications_affhome_429_0.webp
    Розробка мобільного додатку для компанії Affhome
    914
  • image_mobile-applications_flavors_409_0.webp
    Розробка мобільного додатку для компанії FLAVORS
    495
Показати більше робіт

Реалізація безпечного зберігання ключів у StrongBox/TEE (Android) для криптокошелька

Android KeyStore існує з API 18, але апаратна безпека з'явилася пізніше і до сих пір неоднорідна. На одному пристрої ключі зберігаються у StrongBox — виділеному security chip (аналог Apple SE). На іншому — тільки TEE (Trusted Execution Environment) як ізольований процес на тому ж SoC. На третьому (дешеві пристрої) — тільки software-backed KeyStore. Кошелек повинен це враховувати.

Як перевірити рівень захисту ключа

Після створення не можна просто припустити, що ключ у StrongBox. KeyInfo показує реальний рівень:

val keyStore = KeyStore.getInstance("AndroidKeyStore").apply { load(null) }
val keyEntry = keyStore.getEntry("wallet-key", null) as KeyStore.PrivateKeyEntry
val keyFactory = KeyFactory.getInstance(keyEntry.privateKey.algorithm, "AndroidKeyStore")
val keyInfo = keyFactory.getKeySpec(keyEntry.privateKey, KeyInfo::class.java)

val securityLevel = when {
    keyInfo.securityLevel == KeyProperties.SECURITY_LEVEL_STRONGBOX -> "StrongBox"
    keyInfo.securityLevel == KeyProperties.SECURITY_LEVEL_TRUSTED_ENVIRONMENT -> "TEE"
    else -> "Software"
}

KeyInfo.securityLevel з'явилась в API 31. До цього — KeyInfo.isInsideSecureHardware(), яка не розрізняє StrongBox та TEE. Для production-кошелька: вимагайте StrongBox на пристроях з API 28+ (Android 9+), на інших — TEE як мінімум, з явним попередженням користувачу.

Створення ключа з вимогою StrongBox

val keyPairGenerator = KeyPairGenerator.getInstance(
    KeyProperties.KEY_ALGORITHM_EC,
    "AndroidKeyStore"
)

val paramSpec = KeyGenParameterSpec.Builder(
    "wallet-signing-key-v1",
    KeyProperties.PURPOSE_SIGN or KeyProperties.PURPOSE_VERIFY
)
    .setAlgorithmParameterSpec(ECGenParameterSpec("secp256r1"))
    .setDigests(KeyProperties.DIGEST_SHA256)
    .setUserAuthenticationRequired(true)
    .setUserAuthenticationParameters(0, KeyProperties.AUTH_BIOMETRIC_STRONG)
    .setIsStrongBoxBacked(true) // вимагаємо StrongBox
    .build()

try {
    keyPairGenerator.initialize(paramSpec)
    keyPairGenerator.generateKeyPair()
} catch (e: StrongBoxUnavailableException) {
    // StrongBox недоступен — fallback на TEE або інформуємо користувача
    retryWithoutStrongBox()
}

StrongBoxUnavailableException потрібно обробляти явно — не молча падати. Fallback-логіка: спроба з setIsStrongBoxBacked(false), потім перевірка KeyInfo.securityLevel, потім рішення відображати ли попередження.

Android проти iOS: принципіальне розрізнення

На iOS Secure Enclave підтримує тільки P-256. На Android StrongBox підтримує P-256 та RSA, але не secp256k1. Ситуація та ж: для приватних ключів ETH/BTC потрібна обгортка.

Схема аналогічна iOS: Android KeyStore P-256 ключ використовується для шифрування secp256k1 ключа через Cipher з алгоритмом ECDH + AES-GCM. Зашифрований blob — у EncryptedSharedPreferences або Room з шифруванням.

Але є нюанс: KeyAgreement (ECDH) з KeyStore-ключем працює без біометричного підтвердження, якщо не встановлено setUserAuthenticationRequired. Для операцій розшифровки (доступ до ETH-ключа перед підписанням транзакції) потрібно явно вимагати аутентифікацію в момент використання — через setUnlockedDeviceRequired(true) + setUserAuthenticationParameters.

Перевіряємо на реальному залізі

StrongBox в емуляторі недоступен. Тестуємо на Pixel 3+ (StrongBox з API 28), Samsung Galaxy S10+ (Samsung Knox як окремий SE), та на бюджетних пристроях без StrongBox — переконуємось, що fallback коректний.

Часова шкала — 3–5 днів: створення ключів, схема шифрування для secp256k1, обробка fallback за рівнями безпеки, тестування на реальних пристроях.