Fondamentalmente mi piacerebbe utilizzare Android Keystore per firmare le richieste che vanno su un server da un telefono Android. Il mio obiettivo è avere un modo per verificare l'origine della richiesta.
Android Keystore offre comunque al destinatario della richiesta di verificare che una chiave specifica provenga da Keystore Android con un ID hardware / dispositivo specifico piuttosto che una coppia di chiavi generata da OpenSSL, ad esempio.
È dubbio che il tuo protocollo di firma possa trasmettere quei metadati. Per quanto è documentato, la chiave pubblica di una coppia di chiavi generata nel keystore di Android non contiene schemi rivelatori che la identificheranno come tale, né tale caratteristica sarebbe necessariamente desiderabile dal punto di vista della sicurezza. Infine, tali metadati dovrebbero essere autenticati su cui fare affidamento, il che crea una struttura di trust molto complicata che sarebbe difficile da mantenere. - James K Polk, 5 novembre alle 20:09
Leggi altre domande sui tag android public-key-infrastructure certificate-authority key-generation