首先,我们要知道什么是非对称加密系统:
非对称加密系统中,有两个密钥:一个是公钥,一个是私钥。公钥是可以向你的一组用户公开的一个密钥,其实就是一个大的素数。私钥只有你自己拥有,其他人不能盗取你的私钥。私钥其实也是一个大的素数,公钥是拿来加密用的。比如,有某一个人想发信息给你,你通过安全途径给他公钥,他用公钥对他要发给你的信息进得加密运算,然后再通过网络发送加密后的密文给你,虽然有人能盗取这个密文,但他不知道私钥,他解不了密。而你则可以用私钥进行解密,私钥则是用来签名的。比如,你要发布一个公告,你就用你的私钥对公告进行加密运算,然后发布出去,而看公告的人则用公钥对公告进进行解密运算,如果可以解密,则证明该公告是你发出的,也就相当于验证了签名。因此,公钥和私钥都有两个作用: 公钥用来加密和验证签名,私钥用来签名和解密。
那在我们的S60第三版的签名中又是如何运用的呢?
私钥就是包含在文件xxx.key里的一个素数,可以1024bit长,也可以2048bit长,当然越长越安全些。公钥也就是包含在文件xxx.cer里的一个素数。
公钥和私钥都可以用工具MakeKeys.exe生成,格式如下:
makekeys -cert -password yourpassword -len 2048 -dname "CN=Joe Bloggs OU=Development OR=Symbian Software Ltd CO=GB EM=joe.bloggs@Symbian.com " mykey.key mycert.cer
解释一下该命令:参数-cert 表示要生成一个私钥和一个公钥;-password 表示私钥的密码,可以不用密码,所以这个参数可以省略;-len 表示素数的长度,这里是2048bit;-dname后面的表示该证书的一些描述字串;mykey.key,mycert.cer分别表示私钥和公钥存于的文件名。
在DOS命令框里输入这条命令后,不停的移鼠标,makekeys.exe就会在当前目录下生成一个私钥mykey.key和一个公钥mycert.cer了。
 |
从以上步骤,我们得到的证书和私钥都是我们自己生成的,也就相当于我们个人发证书给自己,这是不具有什么公信力的。所以,以这种方式签名的软件虽然可以安装到任何手机上运行,但它的能力有限,很多系统的功能用不了,比如我们常常需要的自启动功能。如果我们想要我们的软件能用到系统的功能,比如自启动,访问系统文件,那我们就要向Symbian申请证书了。这里有两种方式:
第一种方式是对于个人开发者,Symbian发给我们一个证书,该证书包含了开发者手机的IMEI码,因此这种方式签名的软件只能安装到该IMEI码的手机上。我们现在自签名的来电通,大字屏保等软件,用的就是这种方式。第二种方式,就是对于商业软件,开发商业软件的组织把做好的软件提交到Symbian 测试中心进行测试,通过的话,由Symbian进行签名,然后该商业软件就可以发行了。这种方式签名的软件,可以安装到任何手机上,并且能够访问系统的关键API功能。
要得到Symbian发给我们的证书,就比较麻烦了。这个证书就相当于我们的电子身份证了,我们要取得该身份证,就要向发证机关申请。要申请到,我们必须具备一些材料:我们的私钥,组织名等等。在Symbian S60第三版里,最重要的一个材料就是我们手机的IMEI码,还有我们该证书的能力,比如经过该证书签名的软件可以自启动,可以查看系统文件等。Symbian有个工具可以收集我们的这些材料,这个工具就是我们申请个人证书时用的。它会产生一个文件xxx.csr里面就包含了我们的这些材料了。Symbian对这些信息进行收集后,就发给我们一个证书xxx.cer里面包含证书的有效期(这个期限现在一般是半年,所以我们得到的这个证书只能使用半年,半年后又要重新申请),证书的算法,存诸格式,IMEI码,证书的签名程序的能力(比如自启动,访问系统文件,访问网络等)。有了证书和私钥,我们就可以对一个新开发的软件进进签名了。
我们生成私钥和公钥后就可以对开发的软件进行签名了,命令如下:
SignSis xxx_unsigned.sis xxx_signed.sisx xxx.cer xxx.key
解释:SignSis 就是命令了,xxx_unsigned.sis是未签名的文件名,这里只是个文件名,并不代表这个软件就真的未经过签名,一个签过名的软件可以再次签名,这样得出最后的结果是该软件有两个证书签过名;xxx_signed.sisx表示签过名后软件的文件名;xxx.cer和xxx.key就是证书和私钥了,如果私钥是有密码的,这里要跟着写上密码,SignSis.exe 用私钥对软件进行签名,然后再把证书附加到软件后面,最后输出xxx_signed.sisx,这就是经过签名的软件病。
签名的过程:
 |
 |
签名之后得到了可以安装的软件:
 |
这个过程其实就是用私钥xxx.key进软件进行签名,然后附加证书xxx.cer到软件里。安装软件时,手机的安装程序会检测是不是该证书对应的私钥签名的,这样就防止有人篡改软件。不过由于该证书里有个单一的IMEI码。因此,它只能安装到该IMEI码的手机上。
1251
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
