Sto pensando alla creazione di un'applicazione che ha un alto livello di sicurezza. La funzionalità principale è la memorizzazione di dati di testo e immagine che ottiene da un server.
Il dispositivo verrà utilizzato solo per questa app specifica. Per iniziare a proteggere il dispositivo, naturalmente, farò la crittografia del dispositivo Android e posso usare Samsung Knox SDK e Container per fare quanto segue:
- attestazione
- la whitelist richiedeva solo le applicazioni
- disabilita i collegamenti tranne GPRS
- crea un contenitore Knox con la mia app all'interno
L'applicazione memorizzerà tutti i dati in un database SQLCipher ( link ) Tutto ciò che viene memorizzato nel DB sarà prima crittografato AES 256 Il server utilizzerà un certificato SSL autofirmato che verrà distribuito con l'applicazione.
Mi chiedo quanto sarebbe sicuro? So che passare l'accesso al dispositivo e la crittografia non sarà un problema, ma per quanto riguarda l'accesso Knox? Che dire della possibilità di ottenere l'accesso remoto al dispositivo e aspettare che l'utente inserisca la sua password Knox e all'interno del contenitore Knox la sua password di crittografia?
Aggiornamento:
Domande:
Sarà sufficiente per impedire agli aggressori di accedere ai dati?
È ancora possibile ottenere l'accesso remoto al dispositivo (senza avere accesso fisico) per attendere e registrare le credenziali quando inserito?
In caso affermativo, per quanto riguarda la password del contenitore Knox e la password di crittografia nel contenitore Knox?
Il contenitore Knox è qualcosa di cui mi posso fidare?