Amazon SimpeDB - apps - 데이터 보호

Question

iOS/Android 클라이언트 라이브러리를 사용하는 몇 가지 스마트 폰 앱에 대해 AWS (Amazon Web services) 및 특히 simpleDB를 사용하고 있습니다.

지금까지 데이터는 매우 양성 이었으므로 데이터 보호에 대해 너무 걱정하지 않았습니다.

내 다음 앱 프로젝트에는 사용자 이름과 비밀번호가 포함 된 '사용자'테이블/도메인이 필요합니다.

내가 걱정하는 점은 누군가가 앱의 Android 자바 버전을 리버스 엔지니어링하여 모든 암호를 포함하여 모든 simpleDB 데이터를 쉽게 가져올 수 있다는 것입니다.

기본 TVM (임시 토큰이 코드에없는 AWS 자격 증명을 대체하는 토큰 자동 판매기)은 해당 시나리오를 보호하지 못하는 것으로 사람들이 생각하는 것을 듣는 것이 좋습니다 AWS를 사용하여 앱의 로그인 부분을 완전히 안전하지 않은 상태로 수행하는 접근 방식.

암호 테이블을 다른 위치에 저장하거나 다른 방식으로 액세스하도록 하시겠습니까?

감사드립니다. 많은 감사드립니다.

Answer 1

나는 앱이 보호 유지하기 위해 당신에게 두 가지 방법을 제안 할 수 있습니다 -

1 접근 :

이

당신은 개인 키를 사용하여 암호화됩니다 앱에있는 파일에 당신의 AWS 비밀 키를 유지할 수 있습니다. 시작시 코드는 공개 키를 사용하여 해당 파일을 읽고 AWS 비밀 키만 가져올 수 있습니다. 이 접근법의 다음 사항을 기억하십시오. -

1. 코드는 난독 화되어야합니다.
2. 비밀 키는 파일로 암호화 된 형식이어야 이중 보호가됩니다.
3. 파일에 디지털 서명이 있어야합니다.

두번째 접근법 :

또한 사용자 인증을 관리 할 자신의 웹 사이트를 만들 수있는 사용자는 성공적으로는 그의 응답, 개인 키를 암호화 한 후 AWS 비밀 키를 보내드립니다 인증되면 앱과 앱은 공개 키로 암호를 해독 한 후 해당 AWS 보안 키를 사용합니다. 이 접근법의 다음 사항을 기억하십시오. 1. 응답은 암호화 된 형식으로 반환되어야합니다. 2. 사이트는 안전해야하며 HTTPS에서 실행해야합니다. 3. 코드를 난독 화해야합니다.