Android的签名与校验机制

最新推荐文章于 2024-07-13 23:11:02 发布
最新推荐文章于 2024-07-13 23:11:02 发布
阅读量795 收藏 4
点赞数 1
分类专栏: Android 文章标签: android 签名 校验机制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gavin109/article/details/48345475
版权

一、相关算法:

1、安全哈希算法(SHA1)、MD5算法

2、非对称公钥算法(RSA)

3、BASE64算法

二、基本概念

1)消息摘要(Message Digest)

简称摘要,也称数字指纹,指在消息数据上执行一个单向的Hash函数,生成一个固定的Hash值,是Android安装程序用来对APK完整性校验的基础,它有以下两个特点:

1、摘要无法推算出消息本身

2、消息不同,摘要自会不同

摘要生成算法主要有:MD5/SHA-0 SHA-1

2)数字签名(Signature)

数字签名就是信息的发送者用自己的私钥对消息摘要加密产生一个字符串,加密算法确保别人无法伪造生成这段字符串,这段数字串也是对信息的发送者发送信息真实性的一个有效证明。数字签名技术是非对称密钥加密技术(RSA)+数字摘要技术(SHA1等)的结合。

数字签名技术是将信息摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的信息摘要,然后接收者用相同的Hash函数对收到的原文产生一个信息摘要,与解密的信息摘要做比对。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改;不同则说明信息被修改过,因此数字签名能保证信息的完整性。并且由于只有发送者才有加密摘要的私钥,所以我们可以确定信息一定是发送者发送的。————[百度百科]

3)数字证书(Certificate)

数字证书是一个经证书授权、中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。CERT.RSA包含了一个数字签名以及一个数字证书。
需要注意的是Android APK中的CERT.RSA证书是自签名的,并不需要这个证书是第三方权威机构发布或者认证的,用户可以在本地机器自行生成这个自签名证书。

三、Android签名的作用与意义

Android系统要求所有安装到系统的应用必须经过签名,它有以下几个特点:

  • 所有的应用程序都必须有数字证书 ,Android系统不会安装一个没有数字证书的应用程序;
  • Android程序包使用的数字证书可以是自签名的,不需要一个权威的数字证书机构签名认证;
  • 如果要正式发布一个Android,必须使用一个合适的私钥生成的数字证书来给程序签名 ,而不能使用Debug证书来发布。
  • 数字证书都是有有效期的,Android只是在应用程序安装的时候才会检查证书的有效期。如果程序已经安装在系统中,即使证书过期也不会影响程序的正常功能。

Android系统签名主要有ROM签名和应用程序APK签名两种形式。ROM签名是针对已经生成的Android系统ROM包进行签名。应用程序APK签名是针对开发者开发的应用程序安装包APK进行签名。前者是对整个Android系统包签名,后者只对Android系统中一个应用程序APK签名。

Android的应用程序APK签名主要有以下几点作用:

1. 标识应用程序的发布机构与作者

2. 校验APK数据包的完整性,但签名并不能保证数据包的完整性

3. 防止交易中的抵赖发生, Android市场对软件的要求

四、Android的签名机制

签名的应用未签名的应用
对比未签名的APK与签名的APK,会发现经过签名的应用中比未签名的应用多了一个叫META-INF的文件夹,没错,该文件夹就是签名后生成的文件夹,打开该文件可发现META-INF下有三个文件:MANIFEST.MF、CERT.SF、CERT.RSA。
这里写图片描述

signapk.jar是Android源码包中的一个签名工具。通过追踪signapk.jar的
源码,我们可以完整了解Android的签名过程,(signapk.jar的源码

最低0.47元/天 解锁文章
gavin109
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android中的签名机制
bgfuufb的博客
01-29 521
Android中的签名机制
Android 签名&校验
tq501501的博客
01-07 1720
Android 签名校验 签名校验Android 安全性中非常重要的一项。在build apk时或是制作OTA包时都需要做签名操作,并且在客户端做校验动作,保证升级安装过程的可靠性。 一、签名操作 1、在源码环境使用Android.mk文件编译时签名 # 源码签名文件目录:build\target\product\security\ # 可选签名类型如下 # 1、testkey:默认签名(非系...
android程序中证书签名校验的方法
阿弥陀佛
04-28 509
android程序中证书签名校验的方法一 2013-02-26 09:56:22| 分类: android逆向技巧 |举报 |字号 订阅 (1)、将证书进行base64编码,并将编码后的字符串保存在程序中; (2)、将证书签名(MD5或SHA1值)进行对称算法加密(比如:DES),然后将加密后的结果和对称算法密钥放在一起,再使用证书的private key 对其加密,将加密后的...
最常见的Android签名校验
m0_47587308的博客
10-05 1921
将Signature对象转化为MD5字符串的方法
面试:Android 签名校验机制 v1、v2、v3
王温暖的博客
11-13 2387
2. 对MAINFEST.MF整个文件做一次算法(数据摘要+Base64编码),存放到CERT.SF文件的头属性中,在对MAINFEST.MF文件中各个属性块做一次算法(数据摘要+Base64编码),存放到一个属性块中。:由于开发商可能通过使用相同的package name来混淆替换已经安装的程序,以此保证签名不同的包不被替换。2. 保证信息传输的完成性:签名对于包中的每个文件进行处理,以此确保包中内容不被替换。3. 对CERT.SF文件做签名,内容存档到CERT.RSA中。
聊聊Android签名检测7种核心检测方案详解
wei_java144的博客
10-11 1407
这篇文章只讲Android签名检测,安卓发展到现在,因为国内环境没有谷歌市场,所以很多官方推荐的Api没法使用 ,所以国内的签名检测方式也是“千奇百怪”。发展至今每种方法都有一些绕过或者对抗手段,这些方法很难说就一定准 ,但是我们能做的就是取尽可能的提高攻击者的成本,提升Apk的签名检测能力,防止灰黑产进行攻击。基础的什么Java获取签名信息这种基础方案,这里暂时跳过 ,不在过多叙述。
Android验证apk签名
zhengjuqiang的博客
04-26 2279
1.验证apk签名 打开待查看的apk,将其中META-INF文件夹解压出来,得到其中的CERT.RSA文件 $ keytool -printcert -file META-INF/CERT.RSA 2.apk打签名 jarsigner -verbose -keystore [keystorePath] -signedjar [apkOut] [apkIn] [
Android签名机制介绍
10-30
一、Android签名机制--基础概念 1. 消息摘要算法 2. 非对称加密算法(RSA算法) 3. 数字签名 二、Android签名机制--APK签名过程 1. APK签名概述 2. APK签名相关的文件 3. 签名的过程(MANIFEST.MF) 4. 签名的过程...
去APK签名校验工具
04-12
APK签名校验工具是一种用于验证Android应用程序(APK)签名完整性和安全性的软件工具。在Android系统中,每个发布到Google Play或其他第三方应用商店的APK文件都需要经过签名过程,确保开发者身份的可追溯性,同时...
android 关于利用签名的SHA1进行安全校验的方法之一(推荐)
08-31
签名机制Android系统用来验证应用程序完整性和来源的一种手段。本文主要探讨如何利用SHA1哈希算法进行安全校验,特别是在与第三方服务如百度地图API的集成中。 SHA1(Secure Hash Algorithm 1)是一种广泛使用的...
android MD5签名生成器
11-16
在提供的压缩包文件"android签名查看md5"中,可能包含了这个工具的执行程序或者相关的说明文档。用户可以解压文件,按照说明运行工具,输入自己的APK包名,获取并记录MD5值,以便在后续的分发和安装过程中进行验证。...
Android 应用签名的枷锁与革新》PDF
08-20
Android 应用签名的枷锁与革新》这本书深入探讨了Android应用签名的重要性和相关机制,它是Android开发者理解和优化应用程序发布流程的关键。Android应用签名是确保应用安全、完整性和可更新性的基石,同时也是...
android 证书验证流程分析_Android签名机制之---签名验证过程详解
Android framework
08-22 455
android 证书验证流程分析_Android签名机制之---签名验证过程详解
app运行时签名校验
Yzw_92_4_11的博客
05-12 2435
有时候我们为了防止自己的应用被反编译后重新打包,不得不采取运行时进行签名校验的方式。 因为会经常用到,所以在这里整理了一下校验方式。 public class SignCheck { private Context context; private String cer = null; private String realCer = null; priva
关于安卓开发签名校验
qq_40114753的博客
11-14 696
安卓开发签名校验
安卓应用签名校验
xiaomudouer的博客
03-15 1045
问题:app程序未对签名证书进行校验,被其他证书重新签名可正常启动 apk打包签名思路: Build -> Generate Signed Bundle/APK -> APK -> Create New 创建一个新的证书 (也可以选择一个已有的证书)->ok -> 选择生成的APK文件所在目录、选择apk版本 第1步就是我们打包的常规步骤 第2步用第三方梆梆软件加固 第3步将加固的apk进行第三方软件签名 将apk文件解压,在META-INF文件中可找到签名文件,文件后缀为.
Android签名机制之---签名过程详解
weixin_30652879的博客
12-25 955
一、前言又是过了好长时间,没写文章的双手都有点难受了。今天是圣诞节,还是得上班。因为前几天有一个之前的同事,在申请微信SDK的时候,遇到签名的问题,问了我一下,结果把我难倒了。。我说Android中的签名大家都会熟悉的,就是为了安全,不让别人修改你的apk,但是我们真正的有了解多少呢?所以准备两篇文章好好介绍一下Android签名机制。在说道Android签名之前,我们需要了解的几个知识点1...
展开说说:Android之View基础知识解析
最新发布
Hidanchaofan的博客
07-13 904
View虽不属于Android四代组件,但应用程度却非常非常广泛。在Android客户端,君所见之处皆是View。我们看到的Button、ImageView、TextView等等可视化的控件都是View,ViewGroup是View的子类因此它也是View。但是现在我们把View和ViewGroup当成两个类来看待,ViewGroup可以容纳View和ViewGroup,但View不可以再容纳其他View或ViewGroup,这种容纳的关系可以一直延伸仿佛一棵大树,从内而外有了父子关系,因此有个概念叫做Vi
android avb校验流程
09-05
Android AVB(Android Verified Boot)是一种用于校验系统启动过程的安全机制。下面是Android AVB校验流程的简要描述: 1. 系统启动前:在Android设备上,初始的公钥会被内置到固件中,用于验证启动过程中的签名。 2. 开始引导过程:启动加载程序(Bootloader)会从硬件上获取系统分区,然后从第一个分区中加载并执行AVB验证程序。 3. AVB验证程序:该程序负责校验系统映像的完整性和真实性。 4. 签名验证:验证程序使用内置的公钥对系统分区中的签名进行校验,以确保系统分区没有被篡改。 5. 回卷校验(Rollback Verification):检查系统引导过程中的安全级别和版本,以避免回滚攻击。如果发现版本回滚或不允许的安全级别,则引导过程中断。 6. 系统分区校验:验证系统分区的完整性。对于分区的哈希值,验证程序会使用内置的公钥进行校验。 7. 引导过程继续:如果校验成功,验证程序会继续引导系统。否则,启动加载程序可能会采取不同的行动,例如引导到备份分区或显示错误消息。 通过这样的流程,Android AVB可以提供更高的系统启动安全性。因为它能够验证系统映像的完整性和真实性,防止未经授权的修改或篡改。同时,它还可以防止回滚攻击,确保设备以最新版本的系统启动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值