android 签名

最新推荐文章于 2022-05-08 16:44:44 发布
最新推荐文章于 2022-05-08 16:44:44 发布
阅读量702 收藏 1
点赞数
分类专栏: Android 文章标签: android 签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011403718/article/details/51488952
版权

Android中,一般来说有两个地方使用加密签名。

1.每个.apk文件必须进行签名。Android的程序包管理器通过两种方式使用签名:

  •     当一个应用程序被替换时,只有相同签名的应用才能操作旧版本的数据。
  •     两个应用如果签名一致,那么这两个应用可以共享User ID和用户数据。

2.OTA更新包必须进行签名否则更新程序无法进行安装。(注!我们制作更新包的时候如果不指定key,系统会指定默认的key进行签名,如testkey。)

 

证书和秘钥

    每个秘钥需要两个文件:扩展名为.x509.pem的证书(公钥)和扩展名为.pk8私钥。私钥是用来对包进行签名的,不可公开,而且有必要使用一定策略的密码进行保护,仅仅是让最终发布版本的人知道密码即可。而证书(公钥)相对来说要求并没有那么严格,它通常被用来验证一个包是否进行过密钥签名。

    标准的Android通常使用下面4个秘钥,它们位于build/target/product/security目录下:

testkey

    默认生成的更新包秘钥,如果我们在制作更新包时没有指定响应的秘钥,系统会默认使用testkey进行签名。

platform

    平台使用的测试秘钥

shared

    联系人等共享测试秘钥

media

    部分多媒体、下载系统等程序包所使用的测试秘钥

 

    我们可以在我们的.mk文件中通过设置LOCAL_CERTIFICATE来为我们的安装包指定秘钥(如果没有指定有效的key,系统会默认使用testkey)。

Device/yoyodyne/apps/SpecialApp/Android.mk

 [...]
LOCAL_CERTIFICATE := device/yoyodyne/security/special

通过上面的配置,编译系统就会使用device/yoyodyne/security/special.{.509.pem,pk8}来为我们的应用进行签名。编译系统只能是用没有密码保护的私钥。

 

生成秘钥

我们可以使用openssl工具来生成我们的秘钥(公钥和私钥),openssl工具下载地址:http://www.openssl.org/

 

# generate RSA key
% openssl genrsa -3 -out temp.pem 2048
Generating RSA private key, 2048 bit long modulus
....+++
.....................+++
is 3 (0x3)
# create a certificate with the public part of the key
% openssl req -new -x509 -key temp.pem -out releasekey.x509.pem \
  -days 10000 \
  -subj '/C=US/ST=California/L=San Narciso/O=Yoyodyne, Inc./OU=Yoyodyne Mobility/CN=Yoyodyne/emailAddress=yoyodyne@example.com'
# create a PKCS#8-formatted version of the private key
% openssl pkcs8 -in temp.pem -topk8 -outform DER -out releasekey.pk8 -nocrypt
# securely delete the temp.pem file
% shred --remove temp.pem

Opensslpkcs8命令会生成一个没有密码保护的.pk8文件,这种方式适用于编译系统。如果想生成一个带有密码保护的.pk8文件,我们可以使用-passout stdin参数代替nocrypt参数即可。具体可参考http://www.openssl.org/docs/apps/openssl.html#PASS_PHRASE_ARGUMENTS

签名APP

我们可以使用sign_target_files_apks脚本来对.apk文件进行签名。当我们运行该脚本时,我们需要在命令行中使用”-k src_key=dest_key来指定相应的key。我们也可以使用-d dir来制定一个目录用来替换编译系统所使用的build/target/product/security目录,这就相当于下面这种用法:

[plain]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. build/target/product/security/testkey  = dir/releasekey  
  2. build/target/product/security/platform = dir/platform  
  3. build/target/product/security/shared   = dir/shared  
  4. build/target/product/security/media    = dir/media  

例如在tardis项目中,使用了5个具有密码保护的秘钥:4个用来替换build/target/product/security,一个用来替换上面提到的keydevice/yoyodyne/security/special,如下:

[plain]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. vendor/yoyodyne/security/tardis/releasekey.x509.pem  
  2. vendor/yoyodyne/security/tardis/releasekey.pk8  
  3. vendor/yoyodyne/security/tardis/platform.x509.pem  
  4. vendor/yoyodyne/security/tardis/platform.pk8  
  5. vendor/yoyodyne/security/tardis/shared.x509.pem  
  6. vendor/yoyodyne/security/tardis/shared.pk8  
  7. vendor/yoyodyne/security/tardis/media.x509.pem  
  8. vendor/yoyodyne/security/tardis/media.pk8  
  9. vendor/yoyodyne/security/special.x509.pem  
  10. vendor/yoyodyne/security/special.pk8           # NOT password protected  
  11. vendor/yoyodyne/security/special-release.x509.pem  
  12. vendor/yoyodyne/security/special-release.pk8   # password protected  

然后我们可以像下面的例子中描述的一样对所有的应用进行签名:

[plain]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. % ./build/tools/releasetools/sign_target_files_apks \  
  2.     -d vendor/yoyodyne/security/tardis \  
  3.     -k vendor/yoyodyne/special=vendor/yoyodyne/special-release \  
  4.     -o \    # explained in the next section  
  5.     tardis-target_files.zip signed-tardis-target_files.zip  
  6. Enter password for vendor/yoyodyne/security/special-release key>  
  7. Enter password for vendor/yoyodyne/security/tardis/media key>  
  8. Enter password for vendor/yoyodyne/security/tardis/platform key>  
  9. Enter password for vendor/yoyodyne/security/tardis/releasekey key>  
  10. Enter password for vendor/yoyodyne/security/tardis/shared key>  
  11.     signing: Phone.apk (vendor/yoyodyne/security/tardis/platform)  
  12.     signing: Camera.apk (vendor/yoyodyne/security/tardis/media)  
  13.     signing: Special.apk (vendor/yoyodyne/security/special-release)  
  14.     signing: Email.apk (vendor/yoyodyne/security/tardis/releasekey)  
  15.         [...]  
  16.     signing: ContactsProvider.apk (vendor/yoyodyne/security/tardis/shared)  
  17.     signing: Launcher.apk (vendor/yoyodyne/security/tardis/shared)  
  18. rewriting SYSTEM/build.prop:  
  19.   replace:  ro.build.description=tardis-user Eclair ERC91 15449 test-keys  
  20.      with:  ro.build.description=tardis-user Eclair ERC91 15449 release-keys  
  21.   replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys  
  22.      with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys  
  23.     signing: framework-res.apk (vendor/yoyodyne/security/tardis/platform)  
  24. rewriting RECOVERY/RAMDISK/default.prop:  
  25.   replace:  ro.build.description=tardis-user Eclair ERC91 15449 test-keys  
  26.      with:  ro.build.description=tardis-user Eclair ERC91 15449 release-keys  
  27.   replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys  
  28.      with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys  
  29. using:  
  30.     vendor/yoyodyne/security/tardis/releasekey.x509.pem  
  31. for OTA package verification  
  32. done.  


签名OTA

签名OTA包的流程主要有下面这些:

    1.准备好build时所要使用的签名文件

    2.对准备创建的ota包进行签名

具体命令如下:

[plain]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. % ./build/tools/releasetools/ota_from_target_files \  
  2.     -k vendor/yoyodyne/security/tardis/releasekey \  
  3.     signed-tardis-target_files.zip \  
  4.     signed-ota_update.zip  
  5. unzipping target target-files...  
  6. (using device-specific extensions from target_files)  
  7. Enter password for vendor/yoyodyne/security/tardis/releasekey key>  
  8. done.  

签名与侧面安装机制

    侧面安装机制并不能绕开安装包签名机制而进行。在安装更新前,recovery会对更新包的签名进行验证,它会验证OTA包签名的私钥是否和recovery分区存放的公钥相符。

    对更新包签名的验证通常会有两次,一次是android系统使用Android API中的RecoverySystem.verifyPackage()方法进行验证,一种是recovery系统的验证。RecoverySystem API会检查存储在Android系统中的公钥是否与/system/etc/security/otacerts.zip(默认情况下)。而recovery 系统会验证存储在recovery 分区中的/res/keys中存储的公钥。

    一般情况下,两个地方存储的公钥是相同的。在侧面安装机制中我们可以指定额外的key进行校验,通过下面的配置。

vendor/yoyodyne/tardis/products/tardis.mk


[plain]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. [...]  
  2. PRODUCT_EXTRA_RECOVERY_KEYS := vendor/yoyodyne/security/tardis/sideload  
木叶57
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 将自己的应用改为系统应用
薛瑄的博客
11-30 8万+
所谓系统程序就是system/app目录中的程序,普通应用转换成系统程序后有稳定、减少内存(DATA)空间占用、恢复出厂设置后不会消失、修改系统时间、调用隐藏方法、系统关机重启、静默安装升级卸载应用等等等等优点,想知道怎么操作?接下来我们介绍三种方法。第一种:使用ADB命令将app安装在system/app目录下转载:android 将自己的应用改为系统应用这种方法的原理就是:1、把apk文件移动到
android 手写签批_Android 手写签名实例
weixin_33983620的博客
12-31 145
packagecn.handwriting;importandroid.app.Dialog;importandroid.content.Context;importandroid.graphics.Bitmap;importandroid.graphics.Bitmap.Config;importandroid.graphics.Canvas;importandroid.graph...
Android签名机制
未子涵的博客
03-26 1118
本文是作者研究参考了多方资料,融汇整理并加入自己的理解和实践结论后所作准备知识在介绍签名机制前,需要首先了解一下消息摘要、签名文件、数字证书的知识。消息摘要 - Message Digest消息摘要(Message Digest),又称数字摘要(Digital Digest)或数字指纹(Finger Print)。简单来说,消息摘要就是在消息数据上,执行一个单向的Hash函数,生成一个固定长度的H...
android源码中生成系统签名文件
itlavn的博客
11-25 818
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/Chaos_hu__/article/details/69945035 1、编译android源码。 2、cd build/target/product/security/ 3、执行 openssl pkcs8 -inform D...
Android——编译release版签名系统
dianchange8716的博客
03-04 239
http://blog.csdn.net/jscese/article/details/24243171 在我的第一篇博客里面http://blog.csdn.net/jscese/article/details/12184513#comments,有提到AndroidManifest.xml中的android:sharedUserId="android.ui...
windows环境 Android 签名工具
最新发布
10-18
3.用于android.uid.system,需要使用Android源码签名文件签名的情况。 4.签名后的apk,即可安装到Android系统。 5.注意,签名文件需要你自己Android源码系统的,我这里不提供。build/target/product/security 就是这...
java生成及验证android签名文件源码及生成签名文件
09-05
本文将深入探讨Java如何生成及验证Android签名文件,并解析源码中的相关概念。 首先,让我们理解Android签名文件的核心作用。Android签名文件(通常为`.keystore`格式)是一个包含了应用开发者私钥的加密文件,用于...
Android签名生成工具和签名格式转换工具
12-05
本文将深入探讨Android签名生成工具以及签名格式转换工具的相关知识。 一、Android签名的概念与作用 1.1 定义:Android签名是一个数字证书,它包含开发者的信息(如名称、组织和证书有效期)以及用于验证应用的私钥...
获取Android签名证书的公钥和私钥的简单实例
01-20
本文以Android签名JKS格式的证书为例: package com.test; import java.io.FileInputStream; import java.security.Key; import java.security.KeyStore; import java.security.PrivateKey; import java.security....
apk反编译,打包及签名工具(附详细使用说明)
02-10
1) APKtool软件包 及签名tool APKtool软件包有2个程序组成:apktool.jar 和 aapt.exe 另外提供一个批处理文件:apktool.bat,其内容为: java -jar "%~dp0\apktool.jar" %1 %2 %3 %4 %5 %6 %7 %8 %9 运行apktools.jar需要java环境(1.6.0版本以上)。 apktool.jar用于解包,apktool.jar和aapt.exe联合用于打包。 signapk.jar 用于签名。 2) APK文件的解包 下面以解开Contacts.apk为例。首先把Contacts.apk Copy到当前工作目录下(例:Test)。在DOS下打入命令 apktool d Contacts.apk ABC 这里“d”表示要解码。Contacts.apk是要解包的APK文件。ABC是子目录名。所有解包的文件都会放在这个子目录内。 3) APK文件的打包 在DOS下打入命令 apktool b ABC New-Contacts.apk 这里“b”表示要打包 ABC是子目录名,是解包时产生的子目录,用来存放所有解包后的和修改后的文件。 New-Contacts.apk是打包后产生的新的APK文件。 4) 签名,不签名安装时可能提示如下错误: Failure [INSTALL_PARSE_FAILED_NO_CERTIFICATES] --- 没有签名,可以尝试test证书;签名方法见下面。 Failure [INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES] ---- 已存在签名,但使用证书不对,可以尝试使用其他证书签名签名方法:到目录android\build\target\product\security找到证书文件,这里可能会有几种证书,test/shared/platform/media,各种证书使用场景不同,可以自己google一下,因为签名很快而且可任意后续更改签名,可以自己尝试各种不同签名; 这个命令行是使用test证书的例子:java -jar signapk.jar testkey.x509.pem testkey.pk8 YOURAPK.apk YOURAPK_signed.apk YOURAPK_signed.apk就是签完名的apk,去测试一下您重新打包的apk吧。
user和userdebug的应用签名在哪里配置?
bestwu0666的博客
05-08 788
Android原生的签名会区分user和userdebug,配置目录分别如下: (1)user的签名配置在:build\target\product\security\release (2)userdebug的签名配置在:build\target\product\security 可以根据需求进行修改。
apk私钥_使用source/build/target/product/security/中的密钥将apk签署为系统
weixin_39622399的博客
12-24 831
正如标题所述,我试图使用platform.x509.pem和platform.pk8签署我的应用程序。问题是,当使用keytool-importkeypairs来添加这些内容时会出现错误:keytool-importkeypair -k ~/.android/debug.keystore -p android -pk8 platform.pk8 -cert platform.x509.pem -a...
Android 如何获取系统签名 并使用系统签名
xiaowang_lj的博客
04-16 1万+
1.制作系统签名: 1.将源码路径下build\target\product\security\platform.pk8 和platform.x509.pem 复制出来放在同一目录下 2.执行命令 后生成 platform.pem openssl pkcs8 -in platform.pk8 -inform DER -outform PEM -out platform.pem -nocrypt 3.行命令生成 platform.pk12 openssl pkcs12 -ex...
android apk获取权限,Android apk 获取系统权限的方式
weixin_39561577的博客
05-27 674
Android系统中,权限等级分为["normal" | "dangerous"| "signature" | "signatureOrSystem"]normal 、dangerous是一般apk都在Mainifest中声明即可获取的signature必须要有系统级别的签名才能够获取到signatureOrSystem 有系统级别签名或者有系统权限以SET_PREFERRED_APPLICATI...
android平台签名总结
liangtianmeng的专栏
10-15 1532
mk中的android:sharedUserId和LOCAL_CERTIFICATE作用(一) Android中如何修改系统时间(应用程序获得系统权限) 在 android 的API中有提供 SystemClock.setCurrentTimeMillis()函数来修改系统时间,可惜无论你怎么调用这个函数都是没用的,无论模拟器还是真机,在logcat中总会得到"Unable to open al...
给第三方apk进行系统签名的几种方式
热门推荐
一路到黑
08-17 2万+
Android自带的签名工具为 signapk.jar, 可以在源码编译目录out中找到,具体路径为:out/host/linux-x86/framework/signapk.jar 以上APK具有系统权限,重新签名应该使用platform签名文件进行签名签名方法:将对应权限的签名文件platform.pk8、platform.x509.pem, 签名工具 signapk.jar, 以及需要签名的apk(假设 old.apk) 放到同一目录下,打开linux终端(windows
android 客制化系统签名文件
u010672559的博客
06-28 1316
1.源码环境下切换到development/tools 2.运行 说明: 即切换到development/tools下 执行./make_key releasekey .............. 是直接执行./make_key +国家省份等个人信息的语句 然后输入密码 –development/tools/make_key releasekey '/C=CN/ST=BeiJing/L=HaiDian/O=MediaTek/OU=WCD/CN=demo/emailAddress=demo@mediatek.
Android系统源码修改】如何用Android MTK源码生成签名文件(debug.keystore)
Bright的博客
06-01 5028
我们很多应用需要用到系统签名,可以通过生成系统签名文件,在生成apk时使用这个签名,然后可以安装到机器中,不需要放在源码里编译,重新刷系统。 android :sharedUserId="android.uid.system" 以platform为例。 在Linux环境中,以Android源码目录为根目录 cd build/target/product/security/ ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值