Android中的签名机制

最新推荐文章于 2023-05-05 11:58:26 发布
最新推荐文章于 2023-05-05 11:58:26 发布
阅读量5.1k 收藏 2
点赞数
分类专栏: Android 技术文档 文章标签: android attributes null buffer 加密 string
Android中签名用的Key的产生方法和签名的原理。

产生Key

产生RSA私钥(private key)
openssl genrsa -3 -out testkey.pem 2048
-3 是算法的参数(public exponent)。
2048 是私钥长度。
testkey.pem 是输出的文件。

产生PKCS#10格式的认证请求。所谓认证请求就是发给认证机构认证的一个请求,它主要包括一个公钥和一些相关信息(如组织名称和联系人邮件地址)。
openssl req -new -x509 -key testkey.pem -out testkey.x509.pem -days 10000 /
-subj ‘/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com’

如果不提供最后两个参数,openssl会提示你输入相关信息,这里的信息可以根据你自己的实际情况填写。如

openssl req -new -x509 -key testkey.pem -out testkey.x509.pem -days 10000

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:GuangDong
Locality Name (eg, city) [Newbury]:ShenZhen
Organization Name (eg, company) [My Company Ltd]:Topwise
Organizational Unit Name (eg, section) []:Broncho
Common Name (eg, your name or your server’s hostname) []:broncho.cn
Email Address []:bronchosales@gmail.com

把私钥的格式转换成PKCS #8(Private-Key Information Syntax Standard.)

openssl pkcs8 -in testkey.pem -topk8 -outform DER -out testkey.pk8 -nocrypt

私钥是不能让别人知道的,否则就起不到保密的作用了。私钥通常是要加密保存的,但这里指定了-nocryp,表示不加密

Android提供了一个脚本mkkey.sh用来简化上面的步骤:

if ["$1" == ""]; then
    echo "Create a test certificate key."
    echo "Usage: $0 NAME"
    echo "Will generate NAME.pk8 and NAME.x509.pem"
    echo "  /C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com"
    return
fi
 
openssl genrsa -3 -out $1.pem 2048
 
openssl req -new -x509 -key $1.pem -out $1.x509.pem -days 10000 /
    -subj '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
 
openssl pkcs8 -in $1.pem -topk8 -outform DER -out $1.pk8 -nocrypt

签名

Android提供了为jar/zip文件签名的程序signapk.jar 。

它的用法如下:
Usage: signapk publickey.x509[.pem] privatekey.pk8 input.jar output.jar

第一个参数是公钥,即前面第二步产生的testkey.x509.pem。
第二个参数是私钥,即前面第三步产生的testkey.pk8。
第三个参数是要签名的文件。
第四个参数是输出的文件(即签名后的文件)。

如: java -jar signapk.jar testkey.x509.pem testkey.pk8 update.zip update-signed.zip

现在我们来看看签名到底做了些什么:

 先为输入的jar/zip文件中的所有文件生成SHA1数字签名(除了CERT.RSA,CERT.SF和MANIFEST.MF)

       
 for (JarEntry entry: byName.values()) {
            String name = entry.getName();
            if (!entry.isDirectory() && !name.equals(JarFile.MANIFEST_NAME) &&
                !name.equals(CERT_SF_NAME) && !name.equals(CERT_RSA_NAME) &&
                (stripPattern == null ||
                 !stripPattern.matcher(name).matches())) {
                InputStream data = jar.getInputStream(entry);
                while ((num = data.read(buffer)) > 0) {
                    md.update(buffer, 0, num);
                }
 
                Attributes attr = null;
                if (input != null) attr = input.getAttributes(name);
                attr = attr != null ? new Attributes(attr) : new Attributes();
                attr.putValue("SHA1-Digest", base64.encode(md.digest()));
                output.getEntries().put(name, attr);
            }
        }



并把数字签名信息写入MANIFEST.MF

      
 je = new JarEntry(JarFile.MANIFEST_NAME);
            je.setTime(timestamp);
            outputJar.putNextEntry(je);
            manifest.write(outputJar);

     

对manifest签名并写入CERT.SF

            
// CERT.SF
            Signature signature = Signature.getInstance("SHA1withRSA");
            signature.initSign(privateKey);
            je = new JarEntry(CERT_SF_NAME);
            je.setTime(timestamp);
            outputJar.putNextEntry(je);
            writeSignatureFile(manifest,
            new SignatureOutputStream(outputJar, signature));



把对输出文件的签名和公钥写入CERT.RSA。 


            // CERT.RSA
            je = new JarEntry(CERT_RSA_NAME);
            je.setTime(timestamp);
            outputJar.putNextEntry(je);
            writeSignatureBlock(signature, publicKey, outputJar);



签名的作用

签名的主要目的为了检测文件是否被别人修改了。但它并不能禁止别人修改,因为你完全重新生成签名,但是你生成的签名和原来是不一样的。

http://blog.csdn.net/absurd/article/details/5002763

只是纸老虎
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android应用安全——签名机制
xyzlmn的专栏
06-11 173
关注android应用安全,应该关注android签名机制,平时我们都是使用eclipse直接签名,不了解签名的流程机制,我们今天开始了解一下。Android签名android应用扮演着很重要的角色,例如,Android系统禁止更新安装签名不一致的APK;如果应用需要使用system权限,必须保证APK签名与Framework签名一致,等等。android应用签名在应用防篡改、防盗版...
Android签名机制详解
散落一地的蓝
03-04 941
Android,所有安装到系统的应用都必须有一个数字证书,此证书用于标识特定开发者所开发的某款应用程序的一个版本。应用程序的数字证书主体放置在META-INF目录下,共包括MANIFEST.MF、CERT.SF和CERT.RSA三个文件,其MANIFEST.MF文件包括对安装文件包所有文件的SHA1摘要信息;CERT.SF文件包含使用开发者私钥签名后的文件摘要信息;CERT.RSA包含开发
Android签名机制
山不在高,有金则名
11-27 6801
Android签名机制     为了说明APK签名比对对软件安全的有效性,我们有必要了解一下Android APK的签名机制。为了更易于大家理解,我们从Auto-Sign工具的一条批处理命令说起。 在《APK Crack》一文,我们了解到,要签名一个没有签名过的APK,可以使用一个叫作Auto-sign的工具。Auto-sign工具实际运行的是一个叫做Sign.bat的批处理命令。用文本编辑
Android签名机制介绍
10-30
一、Android签名机制--基础概念 1. 消息摘要算法 2. 非对称加密算法(RSA算法) 3. 数字签名 二、Android签名机制--APK签名过程 1. APK签名概述 2. APK签名相关的文件 3. 签名的过程(MANIFEST.MF) 4. 签名的过程...
Android签名机制.doc
09-29
以下是关于Android签名机制的详细解释: 1. **生成Key** - 私钥(private key)的生成:使用`openssl`工具,通过`openssl genrsa`命令创建RSA私钥,例如`openssl genrsa -3 -out testkey.pem 2048`,这里的参数`-3`...
android10 apk签名文件
04-10
Android系统,APK签名是一个至关重要的过程,它确保了应用的完整性和开发者身份的验证。在Android 10,这个过程没有本质的...开发者需熟知签名机制,合理运用签名工具,遵循最佳实践,以确保应用的质量和安全性。
Android的APK应用签名机制以及读取签名的方法
09-02
Android的APK应用签名机制Android安全模型的关键组成部分,它确保了应用的完整性和来源可信。在Android系统,每一个APK文件在发布之前都必须经过签名,这主要是为了以下几个目的: 1. **验证应用来源**:签名...
android签名机制
热门推荐
feiyangxiaomi的专栏
10-20 1万+
1.android为什么要签名
Android 签名机制
jltxgcy的专栏
03-31 1698
一、本文首先引用这篇文章http://yangguangfu.iteye.com/blog/723182        在Android 系统,所有安装 到 系统的应用程序都必有一个数字证书,此数字证书用于标识应用程序的作者和在应用程序之间建立信任关系,如果一个 permission的protectionLevel为signature,那么就只有那些跟该permission所在的程序拥有同一个
Apk 系统签名
laipigui905的博客
10-22 770
随着物联网与人工智能的发展,越来越多需要开发一些应用集成到系统,这些应用往往回需要获取系统的相关使用权限,因此需要对应的需要进行申明权限。 Apk系统签名一般的提供了两种签名方式jarsign和signapk。jarsign方式是就是通常的keystore方式,signapk 通常指使用系统的plateform.pk8 和 plateform.x509.pem(公钥+私钥)方式。 一、....
Android签名 一 查看签名信息
weixin_64051447的博客
05-05 4895
通过这篇文章可以解决哪些问题以及学到什么:1.如果我们有一个应用,如何查看应用的签名信息?2.如果我们有签名原始文件,如何查看签名文件签名信息?这篇文章介绍了如何查看应用和签名文件签名信息。
Android签名的过程
lihappyangel的专栏
07-18 335
Apk解压后的结构: 会生成一个META-INF的文件夹存放签名相关的数据:MANIFEST.MF WUBA_KEY.RSA WUBA_KEY.SF。此三个文件都是我们对unsigin.apk签名时生成的。 SHA1:安全哈希算法,对于长度小于2^64位的消息,SHA1会产生一个160位的消息摘要。当接收到消息的时候,这个消息摘要可以用来验证数据的完整性。在传输的过程,数据很可能
如何模拟Android签名机制
最新发布
05-28
Android,应用程序必须经过签名才能被安装和运行。签名机制可以保证应用程序的完整性和安全性。如果您需要模拟Android签名机制,可以按照以下步骤操作: 1. 生成自己的密钥库文件 使用Java密钥库(keytool)工具生成密钥库文件,命令如下: ``` keytool -genkey -alias myalias -keyalg RSA -keystore my.keystore ``` 其,myalias是别名,RSA是加密算法,my.keystore是密钥库文件名。执行命令后,按照提示输入相关信息,包括密码、姓名、组织名称等,最后会在当前目录下生成my.keystore文件。 2. 使用密钥库文件签名应用程序 使用jarsigner工具对应用程序进行签名,命令如下: ``` jarsigner -verbose -keystore my.keystore myapp.apk myalias ``` 其,my.keystore是密钥库文件名,myapp.apk是应用程序的文件名,myalias是上一步生成的别名。执行命令后,按照提示输入密钥库密码和别名密码即可完成签名。 以上是模拟Android签名机制的简单步骤,但请注意,这仅适用于测试和学习目的,如果您要发布应用程序,请使用真实的签名证书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值