@a4526047 OK ，我已经意识到我的问题，那么这种情况你有什么好的建议吗？我现在就是学习的心态

@WngShhng 你看啊，如果你不考虑认证要求，不考虑最佳实践，那你的应用不论你想怎么实现都可以。现在的问题不是你想让大家认可你这个 RSA 的实现，那对不起至少我不太认可。 如果你的出发点是 android 的安全性，可以考虑调用 TEE 去做密钥相关处理，这也是最佳实践的做法。如果你连 TEE 的安全性都存疑，可以考虑不支持 android 只做 iOS 。但是不论如何，你希望说明你的 RSA 服务器实现的安全性高于 TEE ，那至少你得从各方面都给出来做够的说服力，而不是仅仅重复“Android 本身并不安全”，因为国内几个手机的 CC MDFPP 认证也是我做的。 自己实现一套机制没问题，我也经常会帮客户想一些奇怪的思路，比如白盒加密之类，但是不代表这些方式是足够安全的，只是在接受了某些风险的场景下可用。对于你现在的应用场景，是不是你得先想明白到底需要应对什么风险或者安全问题，然后才去看你的实现机制是不是足够的？

@sanebow 是这样的，这当然不算最安全的做法，之前我确实没了解密钥派生

@WngShhng 上面有人提到了，往你服务器发个请求就行了。 另外我为什么笃定你没有密码学基础， 因为你不知道 IV 是明文存储的，把用户密码直接扩充成 IV ，这和把密码直接明文存下来有什么区别。 Coursera 有个 crypto 课程 蛮好的 不知道现在还有没有。 建议看看

别的不说，就说 1password 吧，创建账户的时候我记得给了一个恢复密钥的 PDF 让自己打印出来，然后提示过如果这玩意和主密码同时遗失的话，库里储存的所有数据都将无法被找回 你觉得这样不方便，用户体验不好，所以自己整了一套设计，并且坚信（并且宣传）自己还是拥有一样的安全性，是这样吗

@likelylee 感谢，你说的这些我确实不了解，我说的“Android 本身并不安全”，指的是 Android 应用不安全。其实我当初想的是，既然用户自己可以存储自己的文件，那么只要他能够自己保证文件的安全性就可以了，加密的逻辑主要针对的是比如网盘，让网盘无法扫描用户的文件就可以了。或者，大不了就是取消勾选那个选项。因为实际上就是一个笔记软件，如果只用 AES 加密也是足够的…RSA 这块就是担心有些用户自己忘了密码，然后跑来找我要密码…

可以看看 bitwarden 的密码输入是如何设计的, 它客户端是开源的

@Puteulanus 我没有宣扬…我做的是一个笔记软件，对安全性要求不如 1password 那么高吧，不过你说的这种确实是一个方案。

@wy315700 不好意思，我确实没看懂，在我这里 IV 不是用户输入的吗？是从 48 位里截取出来的

@WngShhng 你要是想帮用户存密码那就帮他存密码就好了