Crypto chat with VK API Technologies

Омаров Магомед Шамилович

Студент 4го курса У-351гр

ФКТВТиЭ

Крипто чат с использованием технологий VK API

Crypto chat with VK API Technologies

Аннотация. Статья посвящена описанию программной системы, разработанной на языке Java для мобильной платформы Android, для шифрования передаваемой текстовой информации с использованием ассиметричного или симметричного алгоритма шифрования с использованием технологий VK API

Ключевые слова: Информационная безопасность, крипто чат, криптография, шифрование, RSA, XOR, DES, AES

Description. The article describes a software system developed in Java for the Android mobile platform, which encrypts the messages using asymmetrical or symmetrical encryption with VK API technologies

Keywords: Information security, crypto chat, cryptography, encryption, RSA, XOR, DES, AES

Программная система состоит из сервера VK и клиентского мобильного приложения, разработанного для платформы Android.

API (application programming interface) — это посредник между разработчиком приложений и какой-либо средой, с которой это приложение должно взаимодействовать. API упрощает создание кода, поскольку предоставляет набор готовых классов, функций или структур для работы с имеющимися данными.

1. Методы и объекты

API ВКонтакте — это интерфейс, который позволяет получать информацию из базы данных vk.com с помощью http-запросов к специальному серверу. Вам не нужно знать в подробностях, как устроена база, из каких таблиц и полей каких типов она состоит — достаточно того, что API-запрос об этом «знает». Синтаксис запросов и тип возвращаемых ими данных строго определены на стороне самого сервиса.

Например, для получения данных о пользователе с идентификатором 210700286 необходимо составить запрос такого вида:

https://api.vk.com/method/users.get?user_id=210700286&v=5.52

Рассмотрим отдельно все его составляющие.

https:// — протокол соединения.

api.vk.com/methods — адрес API-сервиса.

users.get — название метода API ВКонтакте. Методы представляют собой условные команды, которые соответствуют той или иной операции с базой данных — получение информации, запись или удаление. Например, users.get — метод для получения информации о пользователе, video.add — метод для добавления видеозаписи в свой список, likes.delete — метод для удаления отметки «Мне нравится».

Все методы разделены на секции. Например, для работы с сообществами Вам нужны методы секции groups, для работы с фотографиями — photos, и так далее. Полный список методов по секциям доступен на этой странице.

?user_id=210700286&v=5.52 — параметры запроса. После названия метода нужно передать его входные данные (если они есть) — как обычные GET-параметры в http-запросе. В нашем примере мы сообщаем серверу, что хотим получить данные о пользователе с id=210700286 и формат этих данных должен соответствовать версии API 5.52 (о версиях мы еще поговорим позже). Входные параметры всегда перечислены на странице с описанием метода.

В ответ сервер вернет JSON-объект с запрошенными данными (или сообщение об ошибке, если что-то пошло не так). JSON — это формат записи данных в виде пар «имя свойства»: «значение».

Ответ на наш запрос выглядит так:

{"response":[{"id":210700286,"first_name":"Lindsey","last_name":"Stirling"}]}

Структура ответа каждого метода также строго задана, и при работе с API Вы заранее знаете, что в поле id придет число, а в поле first_name — строка. Такие правила оговариваются на страницах с описанием метода и соответствующих объектов, которые он возвращает в ответе. Например, users.get — здесь описаны входные параметры метода и структура его ответа, а здесь — user подробно расписано каждое поле объекта из ответа.

Объект из ответа может быть не уникален для конкретного метода. Например, объект пользователя с набором полей, содержащих данные о его образовании, возрасте, интересах, может возвращаться в ответе от методов users.get, users.search, groups.getMembers и еще нескольких.

ВКонтакте — социальная сеть, где есть дружеские связи, настройки приватности и даже черные списки. Многое зависит от того, кто просматривает страницу: кто-то увидит на ней всю ту же информацию, что и владелец, а кто-то — лишь общедоступные данные.

В API этот принцип сохраняется. Если Вы скрыли список своих групп от не-друзей, то и через API Ваши не-друзья не должны его увидеть. Поэтому почти все методы требуют авторизации пользователя перед началом работы.

В общем случае для идентификации в API используется специальный ключ доступа, который называется access_token. Токен — это строка из цифр и латинских букв, которую Вы передаете на сервер вместе с запросом. Из этой строки сервер получает всю нужную ему информацию. Есть разные способы получения токена, более того, он может быть выдан не только пользователю, но и сообществу, и сразу всему приложению.

В данной программой системы использован самый простой способ Implicit flow.

Программный код для получения токена имеет след вид :

1. public class auth extends AppCompatActivity {
2. …
3. WebView wb = (WebView) findViewById(R.id.web);
4. WebSettings webSettings = wb.getSettings();
5. webSettings.setJavaScriptEnabled(true);
6. SimpleWebViewClient webViewClient = new SimpleWebViewClient();
7. wb.setWebViewClient(webViewClient);
8. wb.loadUrl("https://oauth.vk.com/authorize?client_id=5213947&redirect_uri=oauth.vk.com/blank.html&display=mobile&scope=4098&&response_type=token&v=5.58");
9. …}

После перехода по данному адресу браузер созданный внутри приложения выведет сообщение , предостерегающее нас от передачи адреса браузера на сторонние сервисы , т.к. есть риск утери данных

Для получения токена из адресной строки используется функция GetToken.

1. public void GetToken (View view) {
2. WebView wb = (WebView) findViewById(R.id.web);
3. token = wb.getUrl().toString().split("=")[1].toString().split("&")[0];
4. Snackbar.make(view, "Получаю токен...", Snackbar.LENGTH_LONG).setAction("Action", null).show();

5. wb.setVisibility(View.INVISIBLE); }

Токен — это Ваш ключ доступа. При выполнении определенных условий человек, получивший Ваш токен, может нанести существенный ущерб Вашим данным и данным других людей. Поэтому очень важно не передавать свой токен третьим лицам. В данной системе токен хранится в глобальной переменной token .

Поле expires_in содержит время жизни токена в секундах. 86400 секунд — это ровно сутки. Через сутки полученный токен перестанет действовать, для продолжения работы нужно будет получить новый. Есть возможность получить токен без срока действия — для этого в scope добавьте значение offline.

Поле user_id содержит id пользователя, для которого получен токен.

Для загрузки списка друзей используем подкласс супер класса AssyncTask GetFriends.

1. class GetFriend extends AsyncTask<String, Void, String> {
3. @Override
4. protected void onPreExecute() {
5. super.onPreExecute();
6. }
9. @Override
10. protected String doInBackground(String... params) {
11. StringBuilder sb = new StringBuilder();
12. try {
13. HttpURLConnection connection = (HttpURLConnection) newURL(params[0]).openConnection();
14. connection.connect();
15. InputStream inputStream =connection.getInputStream();
16. BufferedReader reader = newBufferedReader(new InputStreamReader(inputStream));
17. String line = null;
18. while ((line = reader.readLine()) !=null) {
19. sb.append(line);
20. }
22. TimeUnit.SECONDS.sleep(2);
23. } catch (InterruptedException e) {
24. e.printStackTrace();
25. } catch (MalformedURLException e) {
26. e.printStackTrace();
27. } catch (IOException e) {
28. e.printStackTrace();
29. }
30. return sb.toString();
31. }
34. @Override
35. protected void onPostExecute(String result) {
36. String friendsCount = null;
37. String posts = "";
40. super.onPostExecute(result);
42. try {
43. int i;
44. JSONObject obj = new JSONObject(result);
45. friendsCount = obj.getJSONObject("response").getString("count");
46. JSONArray arr = obj.getJSONObject("response").getJSONArray("items");
47. friends = new String[Integer.parseInt(friendsCount)];
48. for (i = 0; i < arr.length(); i++) {
49. friends[i] =
50. "id" +arr.getJSONObject(i).getString("id")
51. + ":" + '\n' +arr.getJSONObject(i).getString("first_name")
52. + " " +arr.getJSONObject(i).getString("last_name")
53. + " <<" +arr.getJSONObject(i).getString("online") + ">>";
54. friends[i] =friends[i].replace("<<1>>", " online");
55. friends[i] =friends[i].replace("<<0>>", " offline");
57. }
60. showDialog(55);
62. } catch (JSONException e) {
63. e.printStackTrace();
64. }
65. }
68. }

Список друзей записан в глобальный массив friends.

Для получение истории сообщений используется подкласс суперкласса AssyncTask getHistory.

1.

1. class GetHistory extends AsyncTask<String, Void, String> {
3. @Override
4. protected void onPreExecute() {
5. super.onPreExecute();
6. }
9. @Override
10. protected String doInBackground(String... params) {
11. StringBuilder sb = new StringBuilder();
12. try {
13. HttpURLConnection connection = (HttpURLConnection) newURL(params[0]).openConnection();
14. connection.connect();
15. InputStream inputStream =connection.getInputStream();
16. BufferedReader reader = newBufferedReader(newInputStreamReader(inputStream));
17. String line = null;
18. while ((line =reader.readLine()) != null) {
19. sb.append(line);
20. }
22. TimeUnit.SECONDS.sleep(2);
23. } catch (InterruptedException e) {
24. e.printStackTrace();
25. } catch (MalformedURLException e) {
26. e.printStackTrace();
27. } catch (IOException e) {
28. e.printStackTrace();
29. }
30. return sb.toString();
31. }
33. @Override
34. protected void onPostExecute(String result) {
37. String messegesCount = null;
38. String posts = "";
39. super.onPostExecute(result);
40. ////&#1087;&#1072;&#1088;&#1089;&#1080;&#1085;&#1075;
41. try {
43. JSONObject obj = new JSONObject(result);
44. messegesCount = obj.getJSONObject("response").getString("count");
45. JSONArray arr = obj.getJSONObject("response").getJSONArray("items");
47. for (int i = 0; i <arr.length(); i++) {
48. String msg =arr.getJSONObject(i).getString("body");
49. if(msg.contains(":CRMSGWLDMR:")) {
51. msg =decrypt(msg.replace(":CRMSGWLDMR:", "") , key).replace("+"," ");
53. }
54. if(arr.getJSONObject(i).getString("from_id").equals(user_id))
55. posts +=" Собеседник:" + msg + "\n";
56. else
57. posts += "Я" + msg + "\n";
58. }
59. } catch (JSONException e) {
60. e.printStackTrace();
61. }
63. if (result.contains("count")) {
64. final AlertDialog.Builder builder = new AlertDialog.Builder(auth.this);
65. if (!user_id_name.equals(null))
66. builder.setTitle("История" + user_id_name);

На 50й строчке кода идет проверка на наличие в полученном сообщение флага «:CRMSGWLDMR:» он используется для того чтобы систем а поняла что сообщение зашифровано и есть необхожимость расшифровать сообщение (52-я строчка кода )

Для получение истории сообщений используется подкласс суперкласса AssyncTask sendMessage.

1. class SendMessage extends AsyncTask<String, Void, String> {
2. @Override
3. protected void onPreExecute() {
4. super.onPreExecute();
5. }
6. @Override
7. protected String doInBackground(String... params) {
8. StringBuilder sb = new StringBuilder();
9. try {
10. HttpURLConnection connection = (HttpURLConnection) newURL(params[0]).openConnection();
11. connection.connect();
12. InputStream inputStream =connection.getInputStream();
13. BufferedReader reader = newBufferedReader(newInputStreamReader(inputStream));
14. String line = null;
15. while ((line =reader.readLine()) != null) {
16. sb.append(line);
17. }
19. TimeUnit.SECONDS.sleep(2);
20. } catch (InterruptedException e) {
21. e.printStackTrace();
22. } catch (MalformedURLException e){
23. e.printStackTrace();
24. } catch (IOException e) {
25. e.printStackTrace();
26. }
27. return sb.toString();
28. }
30. @Override
31. protected void onPostExecute(String result) {
32. GetHistory("https://api.vk.com/method/messages.getHistory?offset=0&count=5&user_id="+ user_id + "&access_token=" + token + "&v=5.59");
33. }
34. }

Для шифрования и дешифрованния передаваемых или получаемых сообщений в данной программной системе используются модули с алгоритмом шифрования XOR. Стоит отметить что данные модули легко заменяемы в программном коде .

1. public static String xor_encrypt(String message, String key){
2. try {
3. if (message==null || key==null ) return null;
4. char[] keys=key.toCharArray();
5. char[] mesg=message.toCharArray();
6. BASE64Encoder encoder = new BASE64Encoder();
8. int ml=mesg.length;
9. int kl=keys.length;
10. char[] newmsg=new char[ml];
12. for (int i=0; i<ml; i++){
13. newmsg[i]=(char)(mesg[i]^keys[i%kl]);
14. }
15. mesg=null;
16. keys=null;
17. String temp = newString(newmsg);
18. return new String(newBASE64Encoder().encodeBuffer(temp.getBytes()));
19. }
20. catch ( Exception e ) {
21. return null;
22. }
23. }
26. public static String xor_decrypt(String message, String key){
27. try {
28. if (message==null || key==null ) return null;
29. BASE64Decoder decoder = new BASE64Decoder();
30. char[] keys=key.toCharArray();
31. message = new String(decoder.decodeBuffer(message));
32. char[] mesg=message.toCharArray();
34. int ml=mesg.length;
35. int kl=keys.length;
36. char[] newmsg=new char[ml];
37. for (int i=0; i<ml; i++){
38. newmsg[i]=(char)(mesg[i]^keys[i%kl]);
39. }
40. mesg=null; keys=null;
41. return new String(newmsg);
42. }
43. catch ( Exception e ) {
44. return null;
45. }
46. }