TrustKit

O TrustKit é uma estrutura de código aberto que facilita a implantação de fixação e relatórios de chave pública do SSL em qualquer aplicativo iOS 12+, MacOS 10.13+, TvOS 12+ ou WatchOS 4+; Ele suporta aplicativos Swift e Objective-C.

Se você precisar de Pinning/Relatórios SSL em seu aplicativo Android. Também lançamos o TrustKit para Android em https://github.com/datatheorem/trustkit-android.

A Trustkit fornece os seguintes recursos:

• API simples para configurar uma política de fixação SSL e aplicá -la em um aplicativo. As configurações de política são fortemente baseadas na especificação de fixação de chave pública HTTP.
• A implementação sensata, fixando as informações de chave pública do certificado, em oposição ao próprio certificado ou aos bits de chave pública.
• Mecanismo de relatório para notificar um servidor sobre a fixação de falhas de validação no aplicativo, quando uma cadeia de certificados inesperada é detectada. Isso é semelhante à diretiva Relatório-URI descrita na especificação HPKP. O mecanismo de relatório também pode ser personalizado no aplicativo, aproveitando as notificações de validação de pinos enviadas pelo TrustKit.
• Funcionalidade de aprimoramento automático, envolvendo os delegados nsurlConnection e nsurlSession do aplicativo, a fim de adicionar automaticamente a validação de fixação às conexões HTTPS do aplicativo; Isso permite implantar o TrustKit sem nem mesmo modificar o código -fonte do aplicativo.

• Leia o Guia de Iniciação.
• Confira a documentação da API.
• O Trustkit foi lançado inicialmente no Black Hat USA 2015 e também foi apresentado no blog de engenharia do PayPal.

A implantação SSL Pinning no aplicativo requer inicializar o TrustKit com uma política de pinamento (domínios, sujeitos de informações públicas -chave e hashes adicionais).

A política pode ser configurada na Info.plist do aplicativo:

Como alternativa, a política de fixação pode ser definida programaticamente:

    NSDictionary *trustKitConfig =
  @{
    kTSKSwizzleNetworkDelegates : @ NO ,
    kTSKPinnedDomains : @{
            @" www.datatheorem.com " : @{
                    kTSKExpirationDate : @" 2017-12-01 " ,
                    kTSKPublicKeyHashes : @[
                            @" HXXQgxueCIU5TTLHob/bPbwcKOKw6DkfsTWYHbxbqTY= " ,
                            @" 0SDf3cRToyZJaMsoS17oF72VMavLxj/N7WBNasNuiR8= "
                            ],
                    kTSKEnforcePinning : @ NO ,
                    },
            @" yahoo.com " : @{
                    kTSKPublicKeyHashes : @[
                            @" TQEtdMbmwFgYUifM4LDF+xgEtd0z69mPGmkp014d6ZY= " ,
                            @" rFjc3wG7lTZe43zeYTvPq8k4xdDEutCmIhI5dn4oCeE= " ,
                            ],
                    kTSKIncludeSubdomains : @ YES
                    }
            }};
    
    [TrustKit initSharedInstanceWithConfiguration: trustKitConfig];

A política também pode ser definida programaticamente em aplicativos SWIFT:

        let trustKitConfig = [
            kTSKSwizzleNetworkDelegates : false ,
            kTSKPinnedDomains : [
                " yahoo.com " : [
                    kTSKExpirationDate : " 2017-12-01 " ,
                    kTSKPublicKeyHashes : [
                        " JbQbUG5JMJUoI6brnx0x3vZF6jilxsapbXGVfjhN8Fg= " ,
                        " WoiWRyIOVNa9ihaBciRSC7XHjliYS9VwUGOIud4PB18= "
                    ] , ] ] ] as [ String : Any ]
        
        TrustKit . initSharedInstance ( withConfiguration : trustKitConfig )

Depois que o Trustkit foi inicializado, uma instância TSKPinningValidator pode ser recuperada do Singleton Trustkit e pode ser usada para executar a validação de fixação de SSL nos delegados de rede do aplicativo. Por exemplo, em um nsurlSessionDelegate:

- ( void )URLSession:( NSURLSession *)session 
              task:( NSURLSessionTask *)task 
didReceiveChallenge:( NSURLAuthenticationChallenge *)challenge 
 completionHandler:( void (^)( NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler {
{
    TSKPinningValidator *pinningValidator = [[TrustKit sharedInstance ] pinningValidator ];
    // Pass the authentication challenge to the validator; if the validation fails, the connection will be blocked
    if (![pinningValidator handleChallenge: challenge completionHandler: completionHandler])
    {
        // TrustKit did not handle this challenge: perhaps it was not for server trust
        // or the domain was not pinned. Fall back to the default behavior
        completionHandler ( NSURLSessionAuthChallengePerformDefaultHandling , nil );
    }
}

Para mais informações, consulte o guia de início.

O Trustkit é um esforço conjunto entre as equipes móveis do Data Teorema e Yahoo. Veja AUTHORS para obter detalhes.

O Trustkit é liberado sob a licença do MIT. Consulte LICENSE para obter detalhes.