Android APK签名总结-- V1签名和V2签名使用和区别

1. 工具介绍

jarsigner 是JDK提供的针对jar包签名的通用工具,
位于 JDK/bin/jarsigner

apksigner 是Google官方提供的针对Android apk 签名验证的专用工具
位于 Android SDK/build-tools/SDK version/apksigner.bat
在Android Studio 中点击菜单 Build -> Generate signed apk … 可以打包签名

不管是apk 包,还是jar 包,本质都是zip 格式的压缩包,所以他们的签名过程都差不多(仅限V1签名),
以上两个工具都可以对Android apk 包进行签名

2.1 V1 和V2签名的区别

在Android Studio中点击菜单 Build->Generate signed apk... 打包签名过程中,
可以看到两种签名选项 V1(Jar Signature)  V2(Full APK Signature),
刚开始升级AS看到这个懵了,既然是APK Signature,就放心偷懒选了V2,结果安装失败???无奈,只能查资料...

从Android 7.0开始, 谷歌增加新签名方案 V2 Scheme (APK Signature);
但Android 7.0以下版本, 只能用旧签名方案 V1 scheme (JAR signing)


V1 签名是 jar signature

来自JDK (jarsigner), 对zip 压缩包的每一个文件进行验证, 签名后还能对压缩包进行修改(移动/重新压缩文件)
对 V1 签名的apk/jar 解压,在meta-INF 存放签名的文件(MANIFEST.MF, CERT.SF, CERT.RSA)
其中 MANIFEST.MF 文件保存所有文件的SHA1 指纹(除了META-INF文件), 由此可知, V1 签名是对压缩包中单个文件签名验证
V2 签名是 Full apk signature
来自Google(apksigner), 对zip压缩包的整个文件验证, 签名后不能修改压缩包(包括zipalign),
对V2签名的apk解压,没有发现签名文件,重新压缩后V2签名就失效, 由此可知: V2签名是对整个APK签名验证

V2签名优点很明显:
    签名更安全(不能修改压缩包)
    签名验证时间更短(不需要解压验证),因而安装速度加快
注意: apksigner工具默认同时使用V1和V2签名,以兼容Android 7.0以下版本

从Android 7.0 开始,谷歌增加了新的签名发方式 V2 signature (APK signature )
但 Android 7.0 以下的版本,只能用旧的签名方案, V1 scheme (JAR signature)


2.2 zipalign和V2签名

位于Android SDK/build-tools/SDK版本/zipalign.exe
zipalign 是对zip包对齐的工具,使APK包内未压缩的数据有序排列对齐,从而减少APP运行时内存消耗
zipalign -v 4 in.apk out.apk //4字节对齐优化
zipalign -c -v 4 in.apk //检查APK是否对齐

zipalign可以在V1签名后执行
但zipalign不能在V2签名后执行,只能在V2签名之前执行

3. 签名步骤

1. 生成密钥对
如果已经有密钥库了,这一个步骤是可以忽略的.

我们可以用同一个密钥库对一堆app 进行签名,为什么呢,这个想想也很简单,假设我开发了一堆APP, 我肯定是用同一个密钥对它们进行加密的呀.



Eclipse或Android Studio在Debug时,对App签名都会使用一个默认的密钥库:
    默认在C:\Users\用户名\.android\debug.keystore
    密钥库名:   debug.keystore
    密钥别名:   androiddebugkey
    密钥库密码: android

1.生成密钥对
    进入JDK/bin, 输入命令 
    keytool -genkeypair -keystore 密钥库名 -alias 密钥别名 -validity 天数 -keyalg RSA

    参数:
        -genkeypair  生成一条密钥对(由私钥和公钥组成)
        -keystore    密钥库名字以及存储位置(默认当前目录)
        -alias       密钥对的别名(密钥库可以存在多个密钥对,用于区分不同密钥对)
        -validity    密钥对的有效期(单位: 天)
        -keyalg      生成密钥对的算法(常用RSA/DSA,DSA只用于签名,默认采用DSA)
        -delete      删除一条密钥

    提示: 可重复使用此条命令,在同一密钥库中创建多条密钥对

    例如:     
        在debug.keystore中新增一对密钥,别名是release
        keytool -genkeypair -keystore debug.keystore -alias release -validity 30000

2.查看密钥库
    进入JDK/bin, 输入命令
    keytool -list -v -keystore 密钥库名

    参数:
        -list 查看密钥列表
        -v    查看密钥详情

    例如:
        keytool -list -v -keystore debug.keystore
        现在debug.keystore密钥库中有两对密钥, 别名分别是androiddebugkey release


3.2 签名

1.方法一(jarsigner,只支持V1签名)
    进入JDK/bin, 输入命令
    jarsigner -keystore 密钥库名 xxx.apk 密钥别名

    从JDK7开始, jarsigner默认算法是SHA256, 但Android 4.2以下不支持该算法,
    所以需要修改算法, 添加参数 -digestalg SHA1 -sigalg SHA1withRSA
    jarsigner -keystore 密钥库名 -digestalg SHA1 -sigalg SHA1withRSA xxx.apk 密钥别名

    参数:
        -digestalg  摘要算法
        -sigalg     签名算法

    例如:
        用JDK7及以上jarsigner签名,不支持Android 4.2 以下
        jarsigner -keystore debug.keystore MyApp.apk androiddebugkey

        用JDK7及以上jarsigner签名,兼容Android 4.2 以下            
        jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA MyApp.apk androiddebugkey

2.方法二(apksigner,默认同时使用V1和V2签名)

    进入Android SDK/build-tools/SDK版本, 输入命令
    apksigner sign --ks 密钥库名 --ks-key-alias 密钥别名 xxx.apk

    若密钥库中有多个密钥对,则必须指定密钥别名
    apksigner sign --ks 密钥库名 --ks-key-alias 密钥别名 xxx.apk

    禁用V2签名
    apksigner sign --v2-signing-enabled false --ks 密钥库名 xxx.apk

    参数:
        --ks-key-alias       密钥别名,若密钥库有一个密钥对,则可省略,反之必选
        --v1-signing-enabled 是否开启V1签名,默认开启
        --v2-signing-enabled 是否开启V2签名,默认开启

    例如:
        在debug.keystore密钥库只有一个密钥对
        apksigner sign --ks debug.keystore MyApp.apk

        在debug.keystore密钥库中有多个密钥对,所以必须指定密钥别名
        apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey MyApp.apk

3.3签名验证

1.方法一(keytool,只支持V1签名校验)
    进入JDK/bin, 输入命令
    keytool -printcert -jarfile MyApp.apk (显示签名证书信息)

    参数:
        -printcert           打印证书内容
        -jarfile <filename>  已签名的jar文件 或apk文件   

2.方法二(apksigner,支持V1和V2签名校验)
    进入Android SDK/build-tools/SDK版本, 输入命令
    apksigner verify -v --print-certs xxx.apk

    参数:
        -v, --verbose 显示详情(显示是否使用V1和V2签名)
        --print-certs 显示签名证书信息

    例如:
        apksigner verify -v MyApp.apk

        Verifies
        Verified using v1 scheme (JAR signing): true
        Verified using v2 scheme (APK Signature Scheme v2): true
        Number of signers: 1

References

https://blog.csdn.net/qq_32115439/article/details/55520012
https://www.jianshu.com/p/53078d03c9bf

Android中,APK签名是一种用于验证应用程序的完整性和来源的安全机制。通过对APK文件进行签名,可以确保应用程序在安装和更新过程中没有被篡改或恶意修改。 Android支持多种应用签名方案,包括v1v2、v3和v4方案。v1方案是基于JAR签名,是最早引入的签名方案。v2方案是在Android 7.0引入的APK签名方案,提供了更强的安全性和完整性保护。v3方案是在Android 9.0引入的APK签名方案,进一步增强了应用程序的安全性。v4方案是在Android 11.0引入的APK签名方案,提供了更多的功能和安全性。 要对APK进行签名,可以使用命令行工具或者使用Android开发工具包(SDK)提供的工具。一个常见的签名操作是使用Java命令行工具执行签名操作,具体命令如下: ``` java -jar signapk.jar platform.x509.pem platform.pk8 input.apk output.apk ``` 这个命令将使用指定的签名证书和私钥对输入的APK文件进行签名,并生成一个新的已签名APK文件。 通过对APK进行签名,应用程序将获得系统权限。具体的权限可以在AndroidManifest.xml文件中查看,该文件位于frameworks/base/core/res/目录下。如果将应用程序的签名预置到系统中,应用程序将具有更多的系统权限,而如果使用应用程序自身的签名,则只会具有普通权限。 总结起来,APK签名是一种用于验证应用程序完整性和来源的安全机制,在Android中支持多种签名方案。通过对APK进行签名,应用程序可以获得系统权限。 #### 引用[.reference_title] - *1* *3* [android apk 签名(平台和普通签名)](https://blog.csdn.net/topsecrethhh/article/details/103376745)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Android apk签名原理](https://blog.csdn.net/weixin_42600398/article/details/122843107)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值