- PVSM.RU - https://www.pvsm.ru -

Отправляем зашифрованные SMS сообщения с Virgil

Отправляем зашифрованные SMS сообщения с Virgil - 1

Привет!
Несмотря на набирающие все большую популярность мобильные мессенджеры, такие как WhatsApp и Telegram, старые добрые SMS все еще не теряют свою актуальность. SMS можно использовать для отправки разного рода уведомлений, для двухфакторной аутентификации или при сбросе пароля. Однако последние успешные атаки на мобильные сети [1] заставляют задуматься о дополнительном уровне защиты передаваемых с помощью SMS данных.
В этой статье мы поговорим о том, как используя сервисы Virgil и Twilio, сделать процесс отправки SMS на Android устройства безопасным.

Прежде чем приступать к программированию в очередной раз напомним о ряде предварительных действий.
Для отправки SMS мы будем использовать Twilio API [2], для доступа к которому необходимо создать Twilio аккаунт тут [3]. После регистрации вы получите специальные идентификаторы, необходимые для работы с API — TWILIO_ACCOUNT_SID и TWILIO_AUTH_TOKEN.

Чтобы зашифровать SMS сообщения нам потребуется помощь Virgil Crypto Library и Virgil Keys Service, для доступа к которому необходимо создать Virgil аккаунт [4] и сгенерировать специальный токен VIRGIL_ACCESS_TOKEN.

После выполнения вышеперечисленных шагов можно приступать к реализации SMS уведомлений.
Сервисы Virgil имеют большой набор SDK [5], позволяющих работать с ними практически на любом популярном языке программирования. В предыдущих статьях мы показывали как работать с сервисами с помощью JavaScript. Сегодня, в качестве разнообразия, мы покодим на C#. [6]

Распишем процесс отправки и получения зашифрованных SMS поэтапно.

  1. Устанавливаем Virgil и Twilio SDK, используя менеджер пакетов NuGet:

    PM> Install-Package Virgil.SDK
    PM> Install-Package Twilio

  2. Инициализируем клиенты для работы с Virgil и Twilio API:
    // указываем идентификаторы Twilio аккаунта
    string accountSid = "%TWILIO_ACCOUNT_SID%";
    string authToken = "%TWILIO_AUTH_TOKEN%";
    // инициализируем Twilio API клиент
    var twilio = new TwilioRestClient(accountSid, authToken);
    // инициализируем Virgil клиент, используя секретный токен
    var virgil = ServiceHub.Create("%VIRGIL_ACCESS_TOKEN%");
    

    Обратите внимание на переменные accountSid и authToken. В них мы указываем идентификаторы нашего Twilio аккаунта, которые можно найти здесь [3].

  3. Реализуем отправку зашифрованных сообщений с помощью обычного POST запроса к сервису Twilio (отсылаем приглашения с паролями для входа на вечеринку):
    // Подготовим список получателей SMS сообщений
    var people = new Dictionary<string,string>() {
        {"+14XXXXXXXX1","Darth Vader"},
        {"+14XXXXXXXX2","Luke Skywalker"},
        {"+14XXXXXXXX3","Princess Leia"}
    };
    
    // загрузим публичные ключи получателей с Virgil Keys Service
    var peopleCards = await Task.WhenAll(people
        .Select(it => virgil.Cards.Search(number)));
    
    foreach (var personCards in peopleCards)
    {
        // оставим карты получателей, созданные последними
        var personCard = personCards.OrderBy(it => it.CreatedAt).Last();
        var personName = people[personCard.Identity.Value];
    
        // инстанциируем класс, который используется для шифрования данных и разбиения 
        // результирующего массива в пакеты указанной длинны (в байтах).
        using (var tinyCipher = new VirgilTinyCipher(120))
        {
            var message = $"Hey {personName}, your security word is STAR. We are waiting for you!";
            var messageData = Encoding.UTF8.GetBytes(message);
    
            tinyCipher.Encrypt(messageData, personCard.PublicKey.Value);
    
            // отправляем пакеты получателю, с учетом того, что размер одного SMS сообщения 
            // равен 160-ти символам (120 байт в base64 формате).
            for(int index = 0; index < tinyCipher.GetPackageCount(); index++)
            {
                var encryptedMessage = Convert.ToBase64String(tinyCipher.GetPackage(index));
    
                // Отправим зашифрованное сообщение с помощью Twilio API
                twilio.SendMessage(
                    SMS.Constants.TwilioPhoneNumber, // Номер отправитель, номер Twilio с включенными SMS
                    personCard.Identity.Value,       // Номер получателя сообщения
                    encryptedMessage);
            }
        }
    }
    

  4. Расшифровываем сообщение на стороне получателя. Чтобы получить SMS воспользуемся Android SMS API. Для расшифровки сообщения нам также потребуется Virgil SDK для .NET [6]:
    // инстанциируем класс, используя все тот же размер пакета в 120 байт.
    var tinyCipher = new VirgilTinyCipher(120);
    
    //расшифровываем сообщение message используя приватный ключ
    private void OnSmsReceived(string from, string message)
    {
        // добавляем пакеты в инстанс класса, до тех пор пока не соберем 
        // все пакеты, которые были посланы в отдельных сообщениях.
        this.tinyCipher.AddPackage(Convert.FromBase64String(message));
        if (this.tinyCipher.IsPackagesAccumulated())
        {
            var decryptedData = this.tinyCipher.Decrypt(this.myPrivateKey);
            var decryptedMessage = Encoding.UTF8.GetString(decryptedData, 0, decryptedData.Length);
    
            this.tinyCipher.Reset();
    
            Application.Current.MainPage.DisplayAlert($"From: {from}", decryptedMessage, "Got It");
        }
    }
    

Как видите с Twilio и Virgil API отправка и получение зашифрованных SMS становится простой задачей, не требующей глубоких знаний в области криптографии.

P.S.

Скачать исходный код, реализующий отпраку зашифрованных SMS, вы можете на GitHub [7].

Автор: Virgil Security, Inc.

Источник [8]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/programmirovanie/146272

Ссылки в тексте:

[1] атаки на мобильные сети: http://www.ptsecurity.ru/download/PT_SS7_security_2014_rus.pdf

[2] Twilio API: https://www.twilio.com/

[3] тут: https://www.twilio.com/user/account/

[4] Virgil аккаунт: https://developer.virgilsecurity.com/account/signup

[5] набор SDK: https://virgilsecurity.com/downloads

[6] C#.: https://github.com/VirgilSecurity/virgil-sdk-net

[7] GitHub: https://github.com/VirgilSecurity/virgil-demo-twilio-sms

[8] Источник: https://habrahabr.ru/post/304286/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best