TrustKit

TrustKit es un marco de código abierto que facilita la implementación de la fijación e informes de clave pública SSL en cualquier aplicación iOS 12+, MacOS 10.13+, TVOS 12+ o WatchOS 4+; Admite aplicaciones Swift y Objective-C.

Si necesita fijación/informe de SSL en su aplicación Android. También hemos lanzado TrustKit para Android en https://github.com/datatheorem/trustkit-android.

TrustKit proporciona las siguientes características:

• API simple para configurar una política de fijación de SSL y aplicarla dentro de una aplicación. La configuración de la política se basa en gran medida en la especificación de fijación de la clave pública HTTP.
• Implementación sensata al fijar la información de clave pública del sujeto del certificado, a diferencia del certificado en sí o los bits de clave pública.
• Mecanismo de informes para notificar a un servidor sobre la fijación de fallas de validación que ocurren dentro de la aplicación, cuando se detecta una cadena de certificados inesperado. Esto es similar a la Directiva Report-URI descrita en la especificación HPKP. El mecanismo de informes también se puede personalizar dentro de la aplicación aprovechando las notificaciones de validación de PIN enviadas por TrustKit.
• Funcionalidad de pinzización automática al cambiar los delegados NSURLCONNE NSURLCONNE y NSURLSIONSION de la aplicación para agregar automáticamente la validación de fijación a las conexiones HTTPS de la aplicación; Esto permite implementar TrustKit sin siquiera modificar el código fuente de la aplicación.

• Lea la guía de inicio.
• Consulte la documentación de la API.
• Trustkit se lanzó inicialmente en Black Hat USA 2015 y también apareció en el blog de ingeniería de PayPal.

La implementación de la fijación de SSL en la aplicación requiere inicializar TrustKit con una política de fijación (dominios, hash de información de clave pública de sujeto y configuraciones adicionales).

La política se puede configurar dentro de la Info.plist de la aplicación.

Alternativamente, la política de fijación se puede establecer programáticamente:

    NSDictionary *trustKitConfig =
  @{
    kTSKSwizzleNetworkDelegates : @ NO ,
    kTSKPinnedDomains : @{
            @" www.datatheorem.com " : @{
                    kTSKExpirationDate : @" 2017-12-01 " ,
                    kTSKPublicKeyHashes : @[
                            @" HXXQgxueCIU5TTLHob/bPbwcKOKw6DkfsTWYHbxbqTY= " ,
                            @" 0SDf3cRToyZJaMsoS17oF72VMavLxj/N7WBNasNuiR8= "
                            ],
                    kTSKEnforcePinning : @ NO ,
                    },
            @" yahoo.com " : @{
                    kTSKPublicKeyHashes : @[
                            @" TQEtdMbmwFgYUifM4LDF+xgEtd0z69mPGmkp014d6ZY= " ,
                            @" rFjc3wG7lTZe43zeYTvPq8k4xdDEutCmIhI5dn4oCeE= " ,
                            ],
                    kTSKIncludeSubdomains : @ YES
                    }
            }};
    
    [TrustKit initSharedInstanceWithConfiguration: trustKitConfig];

La política también se puede establecer programáticamente en aplicaciones Swift:

        let trustKitConfig = [
            kTSKSwizzleNetworkDelegates : false ,
            kTSKPinnedDomains : [
                " yahoo.com " : [
                    kTSKExpirationDate : " 2017-12-01 " ,
                    kTSKPublicKeyHashes : [
                        " JbQbUG5JMJUoI6brnx0x3vZF6jilxsapbXGVfjhN8Fg= " ,
                        " WoiWRyIOVNa9ihaBciRSC7XHjliYS9VwUGOIud4PB18= "
                    ] , ] ] ] as [ String : Any ]
        
        TrustKit . initSharedInstance ( withConfiguration : trustKitConfig )

Después de que se ha inicializado TrustKit, se puede recuperar una instancia TSKPinningValidator del TrustKit Singleton, y puede usarse para realizar la validación de fijación de SSL en los delegados de red de la aplicación. Por ejemplo, en un NsurlsessionDelegate:

- ( void )URLSession:( NSURLSession *)session 
              task:( NSURLSessionTask *)task 
didReceiveChallenge:( NSURLAuthenticationChallenge *)challenge 
 completionHandler:( void (^)( NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler {
{
    TSKPinningValidator *pinningValidator = [[TrustKit sharedInstance ] pinningValidator ];
    // Pass the authentication challenge to the validator; if the validation fails, the connection will be blocked
    if (![pinningValidator handleChallenge: challenge completionHandler: completionHandler])
    {
        // TrustKit did not handle this challenge: perhaps it was not for server trust
        // or the domain was not pinned. Fall back to the default behavior
        completionHandler ( NSURLSessionAuthChallengePerformDefaultHandling , nil );
    }
}

Para obtener más información, consulte la Guía de Getting Start.

TrustKit es un esfuerzo conjunto entre los equipos móviles en el teorema de datos y Yahoo. Ver AUTHORS para más detalles.

TrustKit se publica bajo la licencia MIT. Vea LICENSE para más detalles.