Android安全机制(3) APK 签名机制

最新推荐文章于 2024-05-14 20:00:38 发布
最新推荐文章于 2024-05-14 20:00:38 发布
阅读量2.3k 收藏 7
点赞数
分类专栏: Android 文章标签: Apk签名 签名机制 Android签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vshuang/article/details/83897561
版权

目录

前言

以前的Android安全机制(1)介绍过基于UID和GID的Android进程隔离机制,使用的是Linux的权限访问控制,控制文件和设备访问。Android安全机制(2)Android Permission权限机制是对Android安全机制的一个重要补充,控制了应用对于系统接口或者对外接口的访问。
这次介绍一下Android的APK签名机制。APK签名是Android安全的第一道防线,Android系统在安装APK的时候,首先会检验APK的签名,如果发现签名文件不存在或者校验签名失败,则会拒绝安装。另外签名被破解或者伪造的话,就等于整个APK都可能被伪造。

基础知识

数字摘要

数字摘要(Digital Digest),又称消息摘要(Message Digest)或数字指纹(Finger Print)。一段信息,经过摘要算法得到一串值,就是摘要(dijest)。摘要算法有MD5、SHA1、SHA256、SHA512等
1、信息是任意长度,而摘要是定长。例如应用MD5算法摘要的消息有128个比特位,用SHA-1算法摘要的消息最终有160比特位的输出,SHA-1的变体可以产生192比特位和256比特位的消息摘要。一般认为,摘要的最终输出越长,该摘要算法就越安全。
2、算法把无限的映射成有限,因此理论上可能会有碰撞(两个不同的信息,算出的摘要相同)
3、摘要不同于加密算法,因为不存在解密,因为从摘要反推原信息很难(可以认为能加密但无法解密还原)
4、HmacMD5/HmacSHA1/HmacSHA256等算法在对应的HASH算法之上增加了密钥的支持以提高安全性

非对称加密算法(私钥、公钥)

加密算法重要的概念是公钥和私匙。
先有私钥,再用函数生成公钥。公钥包含了私钥的信息,但也掺杂了其他随机变量,因此不能反推。
私匙不要泄露,公钥要告诉和你通信的对方。公钥加密,只有对应私钥能解开;私钥加密,只有对应公钥能解开。
具体有两种情形:
(1)对方用你的公钥加密信息,你收到后用私钥解开。只有你有私钥,所以只有你能解开,换句话说,有私钥才能看到信息,很安全。
(2)你拿私钥加密信息,对方收到后用你的公钥解开。公钥是公开的,所以其他人也可以看到你的信息,不保密。私钥加密࿰

最低0.47元/天 解锁文章
黄舒颖 咸丫蛋
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AndroidAPK应用签名机制以及读取签名的方法
09-02
总的来说,AndroidAPK签名机制是保护用户安全、确保应用可靠的重要工具,而正确地读取和验证签名是开发和分发安全应用不可或缺的步骤。了解并掌握这一机制,可以帮助开发者更好地理解和应对Android平台的安全挑战...
Android应用篇 - app 签名与加固原理分析
u014294681的博客
04-11 2373
今天来写一下 app 的签名与加固的原理。 签名的原理 1. release apk签名文件 可以看到,签名打包好的 apk 中有一个 META-INF 目录,里面包括三个重要的文件: MANIFEST.MF CERT.SF CERT.RSA 来简单看下这三个文件的内容。 MANIFEST.MF: Manifest-Version: 1.0 Built-By: Ge...
Android | 他山之石,可以攻玉!一篇文章看懂 v1/v2/v3 签名机制
Android格调小窝
02-22 781
目录 1. 概述 1.1 为什么要给应用签名? 应用 APK 其实是一种特殊的 Zip 压缩包,无法避免恶意破解者解压 / 反编译修改内容,针对这个问题有何解决方案呢?他山之石,可以攻玉 ——数字签名算法。应用签名正是数字签名算法的应用场景之一,与其他应用场景类似,目的无非是: 认证 Android 平台上运行的每个应用都必须有开发者的签名。在安装应用时,软件包管理器会验证 APK 是否已经过适当签名,安装程序会拒绝没有获得签名就尝试安装的应用。 验证完整性 软件包管理器在安装应用前会验证应用
深入探索Android签名机制:从v1到v3的演进之旅
最新发布
w风雨无阻w的专栏
05-14 926
消息摘要(Message Digest)是一种通过单向散列算法对任意长度的数据进行计算并产生固定长度的小型摘要信息(又称哈希值或指纹)的技术。(1)、消息摘要主要特点压缩性:无论输入的数据有多大,计算出来的消息摘要的长度都是固定的,通常为128位或更长。易计算:给定需要计算摘要的数据,非常容易计算出消息摘要。隐行性:相同的输入必定得到相同的输出,但反过来,由输出极其困难推导出输入值。抗碰撞:理论上不可能找到两个不同的输入计算出相同的消息摘要。常见的消息摘要算法有:MD5、SHA-1、SHA-256等。
在ADT和Android Studio中配置和使用Git
Android学习博客
04-24 8288
本文讲述了ADT和Android Studio中如何配置和使用Git。
安装apk报错分析记录
u010559573的专栏
03-13 415
Failure [INSTALL_FAILED_SHARED_USER_INCOMPATIBLE] APK需要没有签名或者签名不符合系统签名 Failure [INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES] 此APK已经安装过,且已经安装APK和待安装APK签名不一致 Failure [INSTALL_FAILED_UP...
Android APK签名原理
Android系统攻城狮
03-01 660
Android APK 签名原理涉及到密码学的加密算法、数字签名、数字证书等基础知识,这里做个总结记录。 非对称加密 需要两个密钥,一个是公开密钥,另一个是私有密钥;一个用作加密的时候,另一个则用作解密。 其相对的加密即为对称加密,可以用现实世界中的例子来对比:一个传统保管箱,开门和关门都是使用同一条钥匙,这是对称加密;而一个公开的邮箱,投递口是任何人都可以寄信进去的,这可视为公钥;而只有邮...
android10 apk签名文件
04-10
Android系统中,APK签名...总结,Android 10 APK签名文件是应用开发不可或缺的一部分,它关乎应用的安全、权限获取以及用户信任。开发者需熟知签名机制,合理运用签名工具,遵循最佳实践,以确保应用的质量和安全性。
Android权限机制带来的一些安全问题介绍
09-03
Android权限机制Android系统保障应用安全的核心组成部分,它在防止恶意软件和保护用户隐私方面扮演着重要角色。然而,如同所有技术措施一样,Android的权限机制并非无懈可击,存在一些安全问题和潜在的漏洞。 ...
Android签名机制介绍
10-30
二、Android签名机制--APK签名过程 1. APK签名概述 2. APK签名相关的文件 3. 签名的过程(MANIFEST.MF) 4. 签名的过程(CERT.SF) 5. 签名的过程(CERT.RSA) 6. 签名结束 三、Android签名机制--APK签名验证过程 1...
Redis初级篇
weixin_41062965的博客
05-03 731
Redis 视频地址:https://www.bilibili.com/video/BV1Rv41177Af?p=38 资料地址:https://pan.baidu.com/s/1GxYRq5UkZHKhk3KB0nOioQ q7vj 概述 Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存亦可持久化的日志型、Key-Value 数据库,并提供多种语言的 API的非关系型数据库。 与传统数据库不同的是 Redis 的数据是存在内存中的,所以读写速度非常快,因此
android7.0及以上版本签名校验过程详解
qq_27419187的博客
07-29 1万+
对于新的签名方案APKSignatureSchemev2,在这篇文章中已经有详细的介绍http://www.tuicool.com/articles/bURRVrj。从这篇文章中可以知道,新的签名方案与旧的签名方案之间的对比是: 图1 新的签名方案生成与旧的签名方案相比,在zip文件中新增了一个APKSigningBlock区块。使用新的签名方案以后,在apk
Android 教程系列第 29 篇】Signature Scheme v2,but no such signature was found 的解决方案
“Allen Su”的博客
01-07 4649
一:install parse failed no certificates,base.apk is signed using APK Signature Scheme v2, but no such signature was found 的解决方案。 二:安装Apk时提示解析软件包时出现问题。
android 4.3可以使用md,也谈Android签名机制
weixin_36210213的博客
05-28 183
1. 前言关于Android签名机制,在一个月前就看过了,当时还写了下流程,感觉没有太大的技术含量就没有记录。最近在看APK安装过程,突然又想起安装过程包含了APK的验证,关于APK的验证无非就是签名的逆过程。但是发现自己对签名过程好像模糊了很多,遂决定记录下签名过程。2. 关于签名Android签名现在分为两个版本:v1和v2,因为v1版本签名过程的缺陷,造成了APK可能被攻击。v1签名:签...
暂时不支持APK Signature Scheme v2,解决方案
qq_33515628的博客
08-15 3246
腾讯的渠道应用宝,在审核的时候提示,“暂时不支持APK Signature Scheme v2”,这里提供一个解决方案: 检测安装包是否包含V2签名: 在SDK的的文件夹中执行 apksigner verify -v 【安装包】 具体操作: ①win+R ②在命令行中输入【D:】,进入D盘 ③输入【cd+SDK目录+apksigner verify -v 安装包】 如:D:\soft...
小米 android12 签名问题 机型红米note11
丿灬安之若死
09-14 4553
撤退到以前小米12可以正常运行的版本后 就是以前的代码都好好的然后点击运行 依然是报错。只能先放一边了这个感觉像是小米的bug 不是我代码或者andorid任何版本的问题。之前好好地 可能是因为升级了build.gradle版本导致的 当前版本是。debug 不装签名 低版本手机是可以运行的对吧。至于解决这个问题如何解决。我关闭开发者然后重启手机。那么原因其实可以定位出来。估计是我动了开发者里面的一些选项。
http://my.qy6.com/login.php,MaliStore/app.wxss at master · tomzj/MaliStore · GitHub
热门推荐
weixin_34471637的博客
03-13 46万+
src: url(data:font/truetype;charset=utf-8;base64,AAEAAAALAIAAAwAwR1NVQrD+s+0AAAE4AAAAQk9TLzJXBku4AAABfAAAAFZjbWFwX864igAABTQAAA5iZ2x5ZrXmsl0AABVMAADKgGhlYWQR8usHAAAA4AAAADZoaGVhCPIF2QAAALwAAAAkaG10eGX...
安卓防签名策略
weixin_33737774的博客
12-02 639
标签(空格分隔): 安卓签名 #一、安卓生成APK安装包 1、安卓打包过程 安卓打包过程可参考google给出的APK打包流程图, 最终通过apkbuilder生成的apk实际上最终的存储就是一个zip压缩包,因此可以参考zip压缩包的存储格式来理解apk的存储,当然apk打包前已经做了二进制处理、资源压缩、dex转换等操作。 2、ZipAlign 经过aapt编译生成的APK,实际上是一个有...
[FAQ19857]采用Signature Scheme v2签名方式的APK预置进系统失败
明日暘炚
08-14 7050
[DESCRIPTION] Google在N上引入了一项新的应用签名方案Signature Scheme v2,它能提供更快的应用安装时间和更多针对APK文件更改的保护 在N上预置APK时,如果APK是采用的Signature Scheme v2签名,采用原有的预置应用方式预置APK会失败: Failure [INSTALL_PARSE_FAILED_NO_CERTIFICATES:
android apk签名
07-27
Android中,APK签名是一种用于验证应用程序的完整性和来源的安全机制。通过对APK文件进行签名,可以确保应用程序在安装和更新过程中没有被篡改或恶意修改。 Android支持多种应用签名方案,包括v1、v2、v3和v4方案...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值