android+system签名,Android签名的研究

sam_code@hotmail.com

曾听同事说起，两位同事同时使用同一台Android设备，而工程包名相同时，会发生无法安装的情况。这些情况和Android签名有关。所以研究下相关知识。

0.背景知识：

Android系统要求所有的APK均有签名，否则无法安装。Android使用证书作为标识应用程序作者的一种方式,

并在应用程序之间建立信任关系. 证书并不用来控制用户能否安装哪个应用. 证书不需要由证书认证中心签名:

完全可以使用自签名证书。但在开发过程中，很多时候并未意识到需要有签名。因为在测试和Debug过程中，Build

tools 会帮你给APK加上一个特殊的签名。这个签名由Android SDK

build tools生成。当程序需要Release时，则必须使用私有的签名。此时不能够再使用由Build

Tools 产生的Debug Key来签名。

Android 签名机制有什么目的呢，

首先，由于恶意开发者可能通过使用相同的Package

Name来混淆替换已经安装的程序，签名可以保证相当名字，但是签名不同的包不被替换。

其次，一些特别的权力需要验证时会使用签名。

例如需要让APK具有系统权限。则意味着不光需要在manifest节点中增加android:sharedUserId="android.uid.system"。

同时还需要使用目标系统签名。

Build模式有两种：Debug模式和Release模式。 在Debug模式， Build

Tools 使用Keytool

utility (included in the JDK)来创建一个Debug

key.

会自动为APK文件添加Debug签名。在Release模式下，你必须使用私有的Key来为APK签名。私有Key可以用Keytool

utility来生成。

Debug Key 有效期为一年，一年后会出问题，但如果删除Debug Key，build

Tools会再产生一个。

删除方法为：rm

-rf ~/.android/debug.keystore

过期信息：

debug: [echo] Packaging bin/samples-debug.apk, and signing it with a debug key... [exec] Debug Certificate expired on 8/4/08 3:43 PM

1. 生成私有Key：

JDK的bin目录下有个工具keytool，用来生成keystore.

$sudokeytool

-genkey -alias android.keystore -keyalg RSA -validity 20000

-keystore android.keystore

下面会问很多问题，最终生成私有的密钥。其中密码要记住。后面要用到。

生成的Keystore在本目录内。

keytool使用说明见注1。

2. 生成可发布Release版本APK的方法：

2.1: 方法一：

2.1.1：可以首先生成无签名Release版本APK:

在Eclipse内，右击项目名称。 Android Tools ->export Unsigned application

package

生成无签名包。

2.1.2: 利用jarsigner

给APK签名：

jarsigner-verbose-sigalg SHA1withRSA-digestalg SHA1-keystoremy-release-key.keystore

my_application.apk alias_name

2.2: 方法二：

直接使用私有Keystore生成带有签名的APK：

在Eclipse内，右击项目名称。 Android Tools -> export

signed application package

后面会要求选择Android.Keystore.

输入密码等。

最终就会生成带有私有签名的APK文件。

3.

APK使用系统权限的理由和方法：

一些APK在使用中，需要拥有系统权限，比如修改系统时间等。另外，还有一种需要系统权限的情况是：需要访问Linux

device. 而这些device的创建者是system. 访问权限是：660。(这是Sam当前的需求)

APK得到系统权限，有两种方法(但都需要Android编译时本身的系统签名文件)：

方法一：

1.

在Android Elcipse工程中，在AndroidManifest.xml

中，添加： android:sharedUserId="android.uid.system">

例如：

package="com.android.settings"

coreApp="true"

android:sharedUserId="android.uid.system">

2.

导出未签名的APK包：

右击工程， Android Tools -> Export Unsigned Application

Package...

生成一个未签名的APK。这个APK无法安装的。

3.

利用工具加入系统签名：

首先，第一步，要有目标Android平台的公钥文件和私钥文件。

他们显然存放在Android代码树中，具体目录为：

android/build/target/product/security

私钥文件：platform.pk8

公钥文件：platform.x509.pem

java -jar signapk.jar platform.x509.pem platform.pk8　old.apk

new.apk

这样则生成一个签名和目标系统完全一致的APK文件。

方法二：

1.在Android

Elcipse工程中，在AndroidManifest.xml

中，添加：android:sharedUserId="android.uid.system">

2.

在工程目录下，添加Android.mk文件。并在Android.mk中添加：

LOCAL_CERTIFICATE := platform

3. 生成带签名的APK：

然后将其放置于 android/packages/apps

目录下。

进入目录，运行mm即可。

但此处请注意：Android.mk的写法与NDK编译和Android.mk写法不同。尤其是有jni模块时，还需要在jni目录下创建自己的Android.mk。

这里不详细说。未来再讲。

运行完毕后，也会生成一个拥有此Android平台系统权限的APK。

4.

拥有系统签名的APK的变化：

除了拥有类似修改系统时间这样的权力外，拥有系统签名的APK有什么变化呢？

ＡＰＫ在运行时，在Linux层面，会生成一个进程。它们的父进程都是zygote.

当没有系统权限的APK运行时，它的User为类似：u0_a67这样的用户。

而当有系统权限的APK运行时，它的User为system.

这在Linux层有巨大意义。

在Linux

/dev目录下，某些device(如：/dev/uinput,/dev/video0)的拥有者，正是system.

它们的访问权限为：660。

当某APK使用jni方式访问这类device时，没有系统权限的APK用户为other,对应device访问权限为：0。不可读写，不可执行。所以会失败。

而当此APK拥有系统权限时，它的拥有者为system.

对应device的访问权限为6,可读写。则jni 可以open ,read,write,ioctl则没有问题。

注1：keytool说明：

-genkey

生成一个key pair (公钥和私钥)

-v

允许详细内容输出.

-alias

key的别名. 只会用到前8个字符.

-keyalg

生成key时的加密算法. 支持 DSA 和

RSA.

-keysize

生成的key的大小(bits). 如果不提供,

Keytool使用默认的Key大小:1024. 通常情况下,我们推荐使用 2048或者更大的key尺寸.

-dname

描述key的创建者的标识名称.

在自签名证书中,

本参数会出现在发布者和主题字段. 注意, 不要在命令行下指定这个选项. 此时 Jarsigner会提示你输入每一个标识名称字段(CN, OU,等)

-keypass

key的密码. 安全起见, 不要在命令行中包含这个选项.

此时Keytool会提示你输入密码. 这种方式中, 密码不会被保存在shell历史数据中.

-validity

key的有效期,

以天数为单位. 注意:

推荐使用10000或更大的数字.

-keystore .keystore

保存私钥的keystore名称.

-storepass

keystore的密码.

安全起见,

不要在命令行中包含这个选项. 此时, Keytool会提示输入这个密码. 在这种方式中, 密码不会被保存在shell历史数据中.

一个使用Keytool命令生成私钥的例子: