Android 签名/认证机制

最新推荐文章于 2024-03-30 02:34:09 发布
最新推荐文章于 2024-03-30 02:34:09 发布
阅读量1.6k 收藏 6
点赞数 4
分类专栏: 原理解析 android相关 文章标签: android v2 签名 打包 渠道包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15827013/article/details/97630787
版权

Android 签名/认证机制


Android为了确认apk开发者身份和防止内容的篡改,设计了一套apk签名的方案保证apk的安全性,即在打包时由开发者进行apk的签名,在安装apk时Android系统会有相应的开发者身份和内容正确性的验证,只有验证通过才可以安装apk,签名过程和验证的设计就是基于 非对称加密的思想。

Android在7.0以前使用的一套签名方案:在apk根目录下的META-INF/文件夹下生成签名文件,然后在安装时在系统的PackageManagerService里进行签名文件的验证。

从7.0开始,Android提供了新的V2签名方案:利用apk(zip)压缩文件的格式,在几个原始内容区之外增加了一块用于存放签名信息的数据区,然后同样在安装时在系统的PackageManagerService里进行V2版本的签名验证,V2方案会更安全、使校验更快安装更快。

当然V2签名方案会向后兼容,如果没有使用V2签名就会默认走V1签名方案的验证过程。

一.V1签名

(一)签名方式

有两个工具可以进行android的签名,jarsign和signapk。

jarsign是Java本生自带的一个工具,他可以对jar进行签名的;而signapk是门为了Android应用程序apk进行签名的工具,他们两的签名算法没什么区别,主要是签名时使用的文件不一样。

jarsign签名时使用的是keystore文件(就是我们AS里经常见得keystore文件,由我们指定的密码生成的密钥文件),signapk签名时使用的是pk8(私钥)和x509.pem(公钥)文件,因为两种方式签名都可行,所以说明两种文件可以相互转换。

而我们对apk进行签名过后,会在apk根目录的META-INF/目录下产生三个文件
在这里插入图片描述
下面就来看看AS打包时如何使用我们生成的密钥文件来签名(生成这三个文件)的,以signapk源码为例。

1.MANIFEST.MF

在这里插入图片描述

Manifest manifest = addDigestsToManifest(inputJar);//使用inputJar向Manifest里生成内容
je = new JarEntry(JarFile.MANIFEST_NAME);//输出文件为META-INF/MANIFEST.MF  
je.setTime(timestamp);  
outputJar.putNextEntry(je);  
manifest.write(outputJar);//写到输出文件中

在signapk的main函数中,inputJar就是输入的apk文件,而je就是outputJar输出目标的文件—JarFile.MANIFEST_NAME,即META-INF/MANIFEST.MF。

也就是说,调用addDigestsToManifest方法,将生成的内容写到META-INF/MANIFEST.MF文件中,那么来看看addDigestsToManifest生成了什么内容。

private static Manifest addDigestsToManifest(JarFile jar)  
        throws IOException, GeneralSecurityException {
     
    Manifest input = jar.getManifest();  
    Manifest output = new Manifest();  
    Attributes main = output.getMainAttributes();  
    ...
	main.putValue("Manifest-Version", "1.0");  //输出版本
    main.putValue("Created-By", "1.0 (Android SignApk)");
  
    BASE64Encoder base64 = new BASE64Encoder();  //Base64
    MessageDigest md = MessageDigest.getInstance("SHA1");//SHA1加密  
    byte[] buffer = new byte[4096];  
    int num;  
	//记录apk中所有文件的名字和文件的映射
    TreeMap<String, JarEntry> byName = new TreeMap<String, JarEntry>();  
    for (Enumeration<JarEntry> e = jar.entries(); e.hasMoreElements(); ) {
     
        JarEntry entry = e.nextElement();  
        byName.put(entry.getName(), entry);  
    }  
    for (JarEntry entry: byName.values()) {
     
        String name = entry.getName();  
		//循环除了META-INF/下的MANIFEST.MF、CERT.SF、CERT.RSA的文件
        if (!entry.isDirectory() && !name.equals(JarFile.MANIFEST_NAME) &&  
            !name.equals(CERT_SF_NAME) && !name.equals(CERT_RSA_NAME) &&  
            (stripPattern == null ||  
             !stripPattern.matcher(name).matches())) {
     
			//读取文件内容并用SHA1读取摘要
            InputStream data = jar.getInputStream(entry);  
            while ((num = data.read(buffer)) > 0) {
     
                md.update(buffer, 0, num);  
            }  
            ...
			//将摘要再用base64编码,写入文件
            attr.putValue("SHA1-Digest", base64.encode(md.digest()));  
			//将文件名和对应的编码摘要信息写入output中
            output.getEntries().put(name, attr);  
        }  
    }  
    return output;  
}

该方法其实就是将apk中除了要生成的这三个文件外的所有文件,生成对应的摘要并base64编码,然后写入到MANIFEST.MF中,每个文件的名字和编码摘要单独输出,就形成了上述MANIFEST.MF文件的样子。

2.CERT.SF

在这里插入图片描述
看文件内容感觉和MANIFEST.MF类似,我们来看看代码吧

Signature signature = Signature.getInstance("SHA1withRSA");  
signature.initSign(privateKey);//签名对象,使用SHA1withRSA算法,用开发者私钥进行签名
je = new JarEntry(CERT_SF_NAME);//META-INF/CERT.SF
je.setTime(timestamp);  
outputJar.putNextEntry(je);  
writeSignatureFile(manifest,new SignatureOutputStream(outputJar, signature));//manifest就是上述生成的MANIFEST.MF文件内容

signapk的main函数中,生成完上述的MANIFEST.MF文件后,会调用writeSignatureFile并传入上述MANIFEST.MF文件内容,将生成的内容写到META-INF/CERT.SF文件中,下面来看看writeSignatureFile方法生成了什么

 private static void writeSignatureFile(Manifest manifest, OutputStream out)  
        throws IOException, GeneralSecurityException {
     
    Manifest sf = new Manifest();
    Attributes main = sf.getMainAttributes();  
	//写入版本信息
    main.putValue("Signature-Version", "1.0");  
    main.putValue("Created-By", "1.0 (Android SignApk)");  
    BASE64Encoder base64 = new BASE64Encoder();  
    MessageDigest md = MessageDigest.getInstance("SHA1");  
    PrintStream print = new PrintStream(  
            new DigestOutputStream(new ByteArrayOutputStream(), md),  
            true, "UTF-8");  
    //将整个MANIFEST.MF文件的内容做一次SHA1摘要提取并用base64编码,写入CERT.SF 
    manifest.write(print);  
    print.flush();  
    main.putValue("SHA1-Digest-Manifest", base64.encode(md.digest()));  
  	//将MANIFEST.MF里的每个文件的编码摘要,在做一次摘要提取并base64编码,并与文件名映射输出到CERT.SF中
    Map<String, Attributes> entries = manifest.getEntries();  
    for (Map.Entry<String, Attributes> entry : entries.entrySet()) {
     
        // Digest of the manifest stanza for this entry.  
        print.print("Name: " + entry.getKey() + "\r\n");  
        for (Map.Entry<Object, Object> att : entry.getValue().entrySet()) {
     
            print.print(att.getKey() + ": " + att.getValue() + "\r\n");  
        }  
        print.print("\r\n");  
        print.flush();  
        Attributes sfAttr = new Attributes();  
        sfAttr.putValue("SHA1-Digest", base64.encode(md.digest()));  
        sf.getEntries().put(entry.getKey(), sfAttr);  
    }  
    sf.write(out);  
}

该方法其实就是先将整个MANIFEST.MF内容生成摘要进行编码输出,再把MANIFEST.MF中每个文件的编码摘要再进行一次编码摘要进行输出,形成了CERT.SF文件。

3.CERT.RSA

在这里插入图片描述
最后的这个CERT.RSA文件是二进制文件,是一个加密文件,我们来看看是什么内容

je = new JarEntry(CERT_RSA_NAME);//META-INF/CERT.RSA
je.setTime(timestamp);  
outputJar.putNextEntry(je);  
writeSignatureBlock(signature, publicKey, outputJar);

在signapk的main方法最后,会调用writeSignatureBlock方法,将生成内容输出到META-INF/CERT.RSA文件中

private static void writeSignatureBlock(  
        Signature signature, X509Certificate publicKey, OutputStream out)  
        throws IOException, GeneralSecurityException {
     
	//用私钥签名CERT.SF文件生成数字签名
    SignerInfo signerInfo = new SignerInfo(  
            new X500Name(publicKey.getIssuerX500Principal().getName()),  
            publicKey.getSerialNumber(),  
            AlgorithmId.get("SHA1"),  
            AlgorithmId.get("RSA"),  
            signature.sign());  
	//数字签名连同包含公钥的证书等信息一起生成PKCS7格式的文件
    PKCS7 pkcs7 = new PKCS7(  
            new AlgorithmId[] {
    AlgorithmId.get("SHA1") },  
            new ContentInfo(ContentInfo.DATA_OID, null),  
            new X509Certificate[] {
    publicKey },  
            new SignerInfo[] {
    signerInfo });  
	//写入META-INF/CERT.RSA
    pkcs7
最低0.47元/天 解锁文章
依生依世
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android 应用和系统签名
cuitianxiang的专栏
12-14 432
Android 系统签名:  第一个方法简单点,不过需要在Android系统源码的环境下用make来编译:         1. 在应用程序的AndroidManifest.xml中的manifest节点中加入android:sharedUserId="android.uid.system"这个属性。         2. 修改Android.mk文件,加入LOCAL_CERTI
Android学习笔记——Android 签名机制详解
weixin_43301424的博客
08-19 3915
Android 签名机制所涉及的内容进行一个系统梳理
获取Android签名信息
peterzeng的博客
10-09 1895
1.获取keystore的签名信息 (1)使用keytool命令可获取签名信息 签名文件是keystore格式或jks格式,可以使用keytool命令获取签名信息,在命令窗口输入以下命令: keytool -list -v -keystore xxx.keystore (2)输出信息如下: 输入密钥库口令: 密钥库类型: JKS 密钥库提供方: SUN 您的密钥库含 1 个条目 别名: test2020 创建日期: 2020-11-6 条目类型: PrivateKeyEntry 证书链长
Android应用程序签名 debug签名,2024必看-Android高级面试题总结
最新发布
2401_83945997的博客
03-30 763
3)zipalign:该工具位于Android-sdk-windows/tools/目录下2.生成未经签名的apk文件打开Eclipse,在Android工程名称上点击右键,依次选择“Android Tools” - “Export Unsigned Application Package …”,然后选择一个存储位置保存即可。这样就得到了一个未经签名的apk文件。说明:1)keytool是工具名称,-genkey意味着执行的是生成数字证书操作,-v表示将生成证书的详细信息打印出来,显示在dos窗口中。
AndroidV1,V2,V3签名原理详解
北洋的博客
10-02 6239
AndroidV1,V2,V3签名原理及APK加密技术原理背景介绍不同的签名版本之间的区别V1采用方案V2采用方案V3采用方案 背景介绍 一,Android打包完APK都要进行签名才能够安装到手机上,这是因为在安装的时候系统会进行检测,平时我们直接点AS里面那个绿色的运行按钮也能够直接安装到手机上,这是因为其实它也进行了签名,只不过AS自动帮我们做了这个操作有个默认的签名。 二,签完名后的APK安装安装到手机上时,系统会保存我们这个签名文件,之后启动我们的APP的时候根据使用的签名版本(V1,V2,V3)
CERT.RSA中证书的格式
tuhuolong的专栏
01-15 4028
Android中的签名机制.doc
09-29
以下是关于Android签名机制的详细解释: 1. **生成Key** - 私钥(private key)的生成:使用`openssl`工具,通过`openssl genrsa`命令创建RSA私钥,例如`openssl genrsa -3 -out testkey.pem 2048`,这里的参数`-3`...
Android应用程序的权限机制
03-23
(一)Android安全架构  Android安全架构中一个中心思想就是:应用程序在默认的情况下不可以执行任何对其他应用程序,系统或者用户带来负面影响的操作...  所有的Android应用程序(.apk文件)必须用数字证书进行签名认证
Android_签名经典教程.docx
08-31
Google在Android安全体系中也利用了签名机制,通常使用Sun的`jarsigner`工具对Jar文件进行签名。所有安装到真机上的应用,括从Android Market下载的,都必须经过签名签名过程通常括使用`keytool`生成密钥库和`...
android安全机制文档
11-30
Android 安全机制文档主要探讨了Android平台上的安全策略,尤其是围绕公钥、私钥和数字证书的加密与认证机制。这些机制Android安全体系中的核心组成部分,用于保护应用程序的数据安全和用户隐私。 首先,加密和...
基于Android系统密钥漏洞的安全机制分析.pdf
09-21
Android的安全机制主要由Linux内核、Android本地库和运行时环境以及签名认证机制三部分构成。Linux内核赋予每个程序唯一的UID,限制了程序的访问权限。文件访问控制遵循Linux的权限模型,确保只有拥有特定权限的程序...
Android-SignatureView一个在Android上的电子签名板能保存所签名的图片
08-13
SignatureView 一个在Android上的电子签名板,能保存所签名的图片
证书番外篇之Android证书
jjxojm的专栏
08-04 5196
       最近略微研究了一下证书,为此借着这个东风,顺带研究一下安卓的证书及其使用。        Android使用的是jks证书,这个在TLS初探(2)证书简介中有介绍,和P12证书类似,实际就是将X509证书和私钥打包成一个文件,并且对该文件加上密钥(称为密钥库口令);不仅如此,还进一步对其中的私钥加上密钥(称为密钥口令)。简单来说,如果你需要提取证书文件就需要密钥库口令,如果你需要提...
android系统签名及修改
zyfzhangyafei的专栏
02-22 5128
系统签名文件目录: build/make/target/product/security 主要签名文件 media.pk8 media.x509.pem networkstack.pk8 networkstack.x509.pem platform.pk8 platform.x509.pem releasekey.pk8 releasekey.x509.pem shared.pk8 shared.x509.pem testkey.pk8 testkey.x509.p...
一篇文章看明白 Android v1 & v2 签名机制
热门推荐
jeanboy
12-06 2万+
Android - v1 &amp;amp;amp; v2 签名机制 一、什么是签名? 要想知道签名是什么,先来看为什么需要签名 ? 了解 HTTPS 通信的同学应该知道,在消息通信时,必须至少解决两个问题:一是确保消息来源的真实性,二是确保消息不会被第三方篡改。在安装 APK 时,同样需要确保 APK 来源的真实性,以及 APK 没有被第三方篡改。如何解决这两个问题呢?方法就是开发者对 APK 进行签名:在 A...
Android 获取应用签名
m0_60746014的博客
06-23 7394
应用签名工具类:ApplySigningUtils.java 在MainActivity的onCreate调用签名工具类(记得安装已打包的APK,直接运行获取到的签名是不正确的) 这样就能获取到应用签名啦 2、可从微信开发平台下载工具进行获取 安装完APK,输入自己的应用名,就可以获取应用签名APK下载地址如下:https://res.wx.qq.com/open/zh_CN/htmledition/res/dev/download/sdk/Gen_Signature_Android2.a
android studio打包signature version勾选及APK版本更新
三颗猴面包树
11-09 1854
先说打包: V1和V2介绍二者的区别:V1:可对签名后的文件,作适当修改,并重新压缩。 V2:不能对签名后的 APK作任何修改,括 zipalign。因为它是针对字节进行的签名,所以任何改动都会影响最终结果。Signature Versions不能只选择 V2(Full APK Signature),应该选择V1(Jar Signature),或者选择 V1和 V2。作者:蜜蜂ime 链接:
Android Studio 打包签名Signature Version V1 V2说明
薛定谔的猫
01-11 3851
在进行打包流程中有一项需要选择签名版本: signature version的区别 V1:可对签名后的文件,作适当修改,并重新压缩。 V2:不能对签名后的 APK作任何修改,括重新解压。因为它是针对字节进行的签名,所以任何改动都会影响最终结果。 正确选择姿势: 1.只勾选v1签名所有机型都能用,但是在7.0及以上不会使用更安全的验证方式; 2.只勾选V2签名
android 获取软件签名,获取Android应用签名
weixin_30638387的博客
06-03 1521
本章讲解下Android如何获取应用签名。在某些场景下, 我们需要某应用的签名信息,签名信息存放在里,所以我们需要获取信息。(1)获取已安装应用的所有名/*** 获取所有已安装应用的名* @param paramContext*/private List getInstalledPackageName(Context paramContext){PackageManager localPa...
android v1/v2签名的原理
04-01
Android应用程序的签名是通过使用Java密钥库来实现的。Java密钥库是一种存储数字证书...总的来说,Android应用程序的签名机制是保证应用程序来源和完整性的重要机制。它可以有效地防止应用程序被篡改或被恶意软件替换。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值