Crittografia hardware per dati mobili

1

Assumere un requisito per la creazione di un'applicazione personalizzata per smartphone Android o iOS, che invierà e riceverà dati (documenti, e-mail, ecc.) da / a un server aziendale, magari dopo la modifica locale tramite applicazioni standard (ad es. Word o PowerPoint). I dati dovranno risiedere sullo smartphone per determinati periodi di tempo.

L'applicazione deve essere

  • veloce
  • sicura
  • standardizzato

vale a dire. dovrebbe utilizzare il maggior numero possibile di funzionalità esistenti.

Sembra che, per la parte di rete, HTTPS sia un'opzione migliore rispetto alle VPN.

Quindi, un modello generale di operazione consentirà all'utente di fornire le credenziali di autenticazione, accedere al server, identificare il documento da recuperare e scaricare quel documento sullo smartphone. Viceversa, l'utente dovrebbe essere in grado di caricare il documento dalla memoria dello smartphone, modificarlo e quindi inviarlo al server.

In base a quanto sopra:

  1. Esiste una soluzione open source per la parte client (Android e iOS) della comunicazione client-server, ovvero una libreria client HTTS consigliata?
  2. La crittografia hardware è il percorso consigliato per l'archiviazione dei dati dello smartphone (in termini di prestazioni e sicurezza)?
  3. C'è qualche altra parte della comunicazione che deve essere protetta?

Grazie!

    
posta PNS 03.12.2013 - 12:28
fonte

1 risposta

1

Question1:

Non sono sicuro di questo, suppongo che ogni progetto RESTful dovrebbe fare dove ogni applicazione ottiene un token di attivazione che gli permetterà di recuperare la sua identità (usata per l'autenticazione)

Domanda 2:

In realtà non lo è. La maggior parte delle applicazioni aziendali utilizza un approccio diverso. Ad esempio, se guardi GOOD for Enterprise, noterai che crittografano la loro memoria locale completa in base a una password utente. Se l'utente non ricorda la sua password, non può accedere all'applicazione (nessuna opzione di reimpostazione della password).

La chiave di crittografia è derivata dalla password e deve sempre essere fornita dall'utente per avviare una sessione. Dopo alcuni momenti di inattività (5 - 10 minuti) è necessario bloccare nuovamente l'applicazione.

GOOD fa anche un passo avanti, tre tentativi di password sbagliati e la tua memoria locale viene cancellata e il tuo account invalidato per le richieste REST.

Domanda 3:

Non usare mai la memoria esterna, usa sempre la memoria interna. Fai riferimento alle buone linee guida sulla sicurezza per lo sviluppo mobile.

Riferimenti:

risposta data 03.12.2013 - 13:40
fonte

Leggi altre domande sui tag