certificato Pem nell'app mobile

3

Sto sviluppando un'applicazione cross platform in grado di gestire i pagamenti, il servizio di pagamento online ha emesso un certificato per il mio utilizzo, quindi ho un certificato .pem e al suo interno ci sono 2 certificati effettivi e la mia chiave privata.

Il problema è che non riesco a trovare il modo di usarlo in sicurezza, visto che deve andare nelle richieste al servizio web del servizio di pagamento online, quindi devo includerlo nel mio pacchetto di app mobile, ma se qualcuno apre il pacchetto, avrà immediatamente accesso alla chiave privata.

Come posso gestire questa situazione? Dovrei semplicemente includerlo e dimenticarlo poiché in ogni caso un utente malintenzionato dovrà avere numeri di carta di credito validi o dovrei creare un servizio web intermedio che può aggiungere il certificato?

    
posta NicolasZ 03.02.2015 - 17:45
fonte

2 risposte

2

L'intento da parte loro è più probabile che tu debba costruire il tuo servizio di intermediazione che utilizzerà il certificato client che ti è stato rilasciato per identificarsi al loro servizio.

Sebbene si tratti di un "certificato cliente", il cliente qui è il tuo servizio di intermediazione, non l'utente finale.

    
risposta data 15.02.2016 - 16:59
fonte
1

La regola cardinale non lascia mai la tua chiave privata nella tua app. Solo tu dovresti avere accesso alla tua chiave privata. I servizi Web, o qualsiasi servizio, dovrebbero avere solo bisogno della tua chiave pubblica.

Se richiedono l'accesso alla tua chiave privata, sospetto che l'installazione sia fasulla o che tu abbia a che fare con un servizio ombreggiato.

    
risposta data 05.03.2015 - 00:02
fonte

Leggi altre domande sui tag