Android签名与签名校验

最新推荐文章于 2024-03-30 01:05:26 发布
最新推荐文章于 2024-03-30 01:05:26 发布
阅读量4.8k 收藏 4
点赞数 1
分类专栏: 签名 Android 加密
Android 同时被 3 个专栏收录
92 篇文章 4 订阅
订阅专栏
签名
1 篇文章 0 订阅
订阅专栏
加密
1 篇文章 0 订阅
订阅专栏

Android签名与签名校验  

一、签名方法

方法一.源码签名(android签名方法)
备注:几乎所有的自动化签名工具都是采用的这种方法
(1)生成签名所需要的keypair:公钥与私钥
andoid源码中提供了脚本 build/target/product/security/mkkey.sh 来生成签名所需要的key 
    
    
if ["$1" == ""]; then
 
       echo "Create a test certificate key."
 
       echo "Usage: $0 NAME"
        echo "Will
 generate NAME.pk8 and NAME.x509.pem"
        echo "
  /C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com"
 
       return
fi
 
openssl
 genrsa -3 -out $1.pem 2048
 
openssl
 req -new -x509 -key
 $1.pem -out $1.x509.pem -days 10000 \
 
   -subj '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
 
openssl
 pkcs8 -in $1.pem -topk8 -outform
 DER -out $1.pk8 -nocrypt
从脚本中,我们可以得知,是采用以下步骤生成keypair的。

第一步:生成长度为2048位的RSA私钥 
root@bt:~/bubble example# openssl genrsa -3 -out test.pem 2048
Generating RSA private key, 2048 bit long modulus
...+++
...................................................................................+++
e is 3 (0x3)


    
    


    
    
root@bt:~/bubble example# cat test.pem
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAxJGCXH8i3XgogreH9oMoTaqUR6zTmblWUH3dOg7lV7F+cDDC
P4hPBItEumMGkwhHqdqXMrvAj3RlYVGq6iozWJDluUDzY095G7UuuiPRXr5q0vl4
t0kzPJIAon6kdbAl/0JFJqKLCeyk4aWsa4yRFBi0BWC7qg4ilLdHIZL0CFnRHK6F
9haXVxBBvDPdA06YT5MDqvThs/ZCY1BnGmBb+Srj8YJJ9Nvdxix5Dmqs5JDsn+L0
5OweZqwMcyKVMTrvjj921kJvReuHRRtVwE/xrSkusZITLZ45zySiRAi+NRR9hFlS
efla/8gyCXmCYcvMDOFu827QJpbzWhKgFUWRawIBAwKCAQEAgwusPaoXPlAbAc+v
+azFiRxi2nM3u9DkNak+JrSY5SD+9XXW1QWKAweDJuyvDLAvxpG6IdKAX6LuQOEc
nBwiOwtD0NX3l4pQvSN0fBfg6dRHN1D7JNt3fbarFv8YTnVuqiwuGcGyBp3DQRkd
nQhguBB4A5XScV7BuHova7dNWuVfLWJAgeSUckHZBUHKWkq6ETo63QBW9yqjwUKh
aLAZFbyBMvmhX+9oWgKBTmmr91TIA4z0JbkpPWD8LBuTKKld6FSrOEA432+SNZvW
WMjr2GxyPoE4+6kiB4EhnhQI7hOzSFHW7vD1dlxkDi+B7MvN+cgPqlZ0kvRO2v5V
5uz2GwKBgQD0s9PCzQnsdpOhUHUPAe6ztLk4Uy0y7NoWl7M/P7jEqTC73OP05oGx
FVGLri3l2X7g/NVUtgSEzTUBJH/rEnBJKaCjVgtW0eaIM5Hu3x/evDdUIDeIpe6V
4D4ko6z5XuHddsURO7VOOTQXA8B2xG3bb1y8dCZ3SDN3VMX9TkQbpwKBgQDNpMdi
ZjXMNRna49weee/NgQJzDEcsVFw2Kbk1vZ9xr19mSCfi/nMQKdcrap5FGBLfnbox
9lHbvWWRDHlNYcyZiB/Sq9bDJN2jwR+lXAKxLE8vM5i1DjHw46TLMz23cRUTIRl+
19qclQmE8HHIuiw7ptia/8aqAfUFvM8h7J4EnQKBgQCjIo0siLFITw0WNaNfVp8i
eHt64h4h8zwPD8zU1SXYcMsn6Jf4mavLY4uydB6ZO6nrUzjjJAMDM3irbaqctvWG
G8Bs5AePNpmwImFJ6hU/KCTiwCUFw/Rj6tQYbR37lJaTpINg0nje0M1krSr52Ek8
9Oh9osRPhXek4y6o3tgSbwKBgQCJGITsRCPdeLvnQpK++/Uzq1b3XYTIOD15cSYj
07+hH5Tu2sVB/vdgG+THnGmDZWHqaSbL+Yvn05kLXaYzlohmWr/hx+SCGJPCgL/D
kqx2HYofd7sjXsv17RiHd356S2NiFhD/OpG9uLEDSvaF0XLSbzsR/9nGq/iufd9r
8xQDEwKBgHVOxkAoYn4Q3DXhfeTrxpZEmg7lBTuZAg8A52xH/eVMVTSKwqw+NxfZ
wrU+fGQeruGm5mmOzwOuTDwywcM8qs0/gQVsUVliCMd6IbwDnN4dsNLsZdZp1nV7
rbi0sCmk218gLOQ9p2jv9i0BS8etSEkBwRzF99KgruMGtyd4R39b
-----END RSA PRIVATE KEY-----
第二步:生成x509格式的公钥证书 
root@bt:~/bubble example# openssl req -new -x509 -key test.pem -out test.x509.pem -days 10000 
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:Mountain View
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Android
Organizational Unit Name (eg, section) []:Android
Common Name (eg, YOUR name) []:Android
Email Address []:android@android.com


    
    


    
    
root@bt:~/bubble example# cat test.x509.pem 
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
第三步:生成符合PKCS8标注的私钥文件 
root@bt:~/bubble example# openssl pkcs8 -in test.pem -topk8 -outform DER -out test.pk8 -nocrypt
可以在http://blog.csdn.net/anxuegang/article/details/6157927看到不同证书的格式的介绍

(2)用keypair签名
android源码中提供了签名生成工具,和签名所需要的公钥,私钥文件。其中 sigapk.jar为签名工具,platform.x509.pem为公钥文件,platform.pk8为私钥文件。 网上较流行的AutoSign工具就是采用的这种方法。 
#!/bin/sh
MY_SDK_HOME=~/platform/android/main/mydroid/
PEM=${MY_SDK_HOME}/build/target/product/security/platform.x509.pem
PK8=${MY_SDK_HOME}/build/target/product/security/platform.pk8

if [ $# -ne 2 ]
then
    echo Usage $0 in.apk out.apk
    exit 1
fi
java -jar ${MY_SDK_HOME}/out/host/linux-x86/framework/signapk.jar  \
    ${PEM} ${PK8} $1 $2


第四步:签名 
root@bt:~/bubble example/dis# java -jar signapk.jar test.x509.pem test.pk8 unsig.apk signapk.apk

第五步:优化,主要是为了 数据边界与文件的开始是内存对齐的 
root@bt:~/bubble example# zipalign -v 4 your_project_name-unaligned.apk your_project_name.apk


方法二、命令行签名(Sun 签名方法)
工具:keytool,jarsigner
第一步:生成keystore 
root@bt:~# keytool -genkey -alias dani.keystore -keyalg RSA -validity 4000 -keystore dani.keystore
第二步:签名 
oot@bt:~/bubble example/dis/FrozenBubbleSignapk/META-INF# jarsigner -keystore dani.keystore -digestalg SHA1 -sigalg MD5withRSA -signedjar signed.apk unsigend.apk dani.keystore
第三步:优化 
root@bt:~/bubble example# zipalign -v 4 your_project_name-unaligned.apk your_project_name.apk

二、签名过程分析
无论采取哪种签名方法,都会APK中生成META-INF文件夹,该文件夹包含三个文件
1. MANIFEST.MF
2.CERT.SF
3.CERT.RSA

生成过程如下:
第一步:.首先对文件夹中的文件采用sha1-base64生成摘要,将这些摘要信息保存在MANIFEST.MF中
我使用以下脚本对比了MANIFEST.MF中对应的值,符合 
#!/usr/bin/perl
use Digest::SHA1 qw(sha1 sha1_hex sha1_base64);

die "$0 requires one arguments (file pathname) . \n" if $#ARGV !=0;

$filename=shift;

open FH,$filename or die "cannot open $filename";


$sha1 = Digest::SHA1->new;

$sha1->addfile(*FH);

$digest= $sha1->b64digest;

print $digest,"\n";

close FH;

第二步:.对包括MANIFEST.MF文件在内的所有文件采用sha1-base64生成摘要,方法如下。 



SHA1("Name:
filename"+CR+LF+"SHA1-Digest: "+SHA1(file_content)+CR+LF+CR+LF)
然后将这些摘要信息保存在CERT.MF中。
备注:采用android(Android signapk.jar与Sun jarsigner两种签名方法生成的CERT.MF文件弱有不同。


3. 对第二步中的摘要信息,采用选取的签名算法(SHA1-RSA或者MD5-RSA),用私钥进行签名,同时把公钥证书与签名信息存放在CERT.RSA中 
Signature signature = Signature.getInstance("SHA1withRSA");
signature.initSign(privateKey);
je = new JarEntry(CERT_SF_NAME);
je.setTime(timestamp);
outputJar.putNextEntry(je);
 writeSignatureFile(manifest,
 new SignatureOutputStream(outputJar, signature));

je = new JarEntry(CERT_RSA_NAME);
je.setTime(timestamp);
outputJar.putNextEntry(je);
writeSignatureBlock(signature, publicKey, outputJar);

三、签名校验
由签名生成过程,我们可以知道签名做了两件事情:
1. 完整性校验,可以发现APK包中的文件是否存在变动。
如果对文件进行修改,对应的SHA1值会发生变动。

2.APK发布作者身份唯一性校验
当在android设备上安装apk包时,会从存放在CERT.RSA中的公钥证书中提取公钥,进行RSA解密来校验安装包的身份。

使用以下命令,可以校验APk包的签名状况 
root@bt:~/bubble example/dis# jarsigner -verify -certs -verbose FrozenBubble-modify-sig.apk

        4689 Wed Dec 12 15:56:44 CST 2012 META-INF/MANIFEST.MF
        4810 Wed Dec 12 15:56:44 CST 2012 META-INF/DANI_KEY.SF
         913 Wed Dec 12 15:56:44 CST 2012 META-INF/DANI_KEY.RSA
sm     29099 Wed Dec 12 15:10:22 CST 2012 assets/levels.txt

      X.509, CN=dani lee, OU=taomee, O=taomee, L=shanghai, ST=CA, C=CA
      [certificate is valid from 12/12/12 3:43 PM to 11/25/23 3:43 PM]

sm     25213 Wed Dec 12 15:20:14 CST 2012 res/drawable/app_frozen_bubble.png

使用不同的key生成的签名信息会不同,不同的私钥对应不同的公钥,因此最大的区别是签名证书中存放的公钥会不同,所以我们可以通过提取CERT.RSA中的公钥来检查安装包是否被重新签名了。

具体的APk签名对比实现方法ttp://www.blogjava.net/zh-weir/archive/2011/07/19/354663.html 可以在这里查看到,非常佩服这位博主,是个java高手,几乎每天都在更新博客。

参考:
http://www.blogjava.net/MEYE/articles/357174.html
http://www.blogjava.net/zh-weir/archive/2011/07/19/354663.html 

Shawn_Dut
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 关于利用签名的SHA1进行安全校验的方法之一(推荐)
08-31
下面小编就为大家带来一篇android 关于利用签名的SHA1进行安全校验的方法之一(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
android程序中证书签名校验的方法
阿弥陀佛
04-28 498
android程序中证书签名校验的方法一 2013-02-26 09:56:22| 分类: android逆向技巧 |举报 |字号 订阅 (1)、将证书进行base64编码,并将编码后的字符串保存在程序中; (2)、将证书签名(MD5或SHA1值)进行对称算法加密(比如:DES),然后将加密后的结果和对称算法密钥放在一起,再使用证书的private key 对其加密,将加密后的...
面试:Android 签名校验机制 v1、v2、v3
王温暖的博客
11-13 2227
2. 对MAINFEST.MF整个文件做一次算法(数据摘要+Base64编码),存放到CERT.SF文件的头属性中,在对MAINFEST.MF文件中各个属性块做一次算法(数据摘要+Base64编码),存放到一个属性块中。:由于开发商可能通过使用相同的package name来混淆替换已经安装的程序,以此保证签名不同的包不被替换。2. 保证信息传输的完成性:签名对于包中的每个文件进行处理,以此确保包中内容不被替换。3. 对CERT.SF文件做签名,内容存档到CERT.RSA中。
Android-APK:为何你的应用老是被破解,该如何有效地做签名校验
最新发布
m0_63174618的博客
03-30 831
他替换掉了 Application 为他自己的,那么变化的太多了,Application 的类名 / 方法数 / 字段数 / AndroidManifast 中 Application 节点的 name,都会变。在学习 Application 的创建流程的时候可知(其实是我不会上网找的流程),另一个 LoadedApk 对象是通过 getPackageInfoNoCheck 方法创建的。只有具备这样的能力,架构师才能看清系统的整体,掌控全局,这也是架构师大局观的形成基础。
最常见的Android签名校验
m0_47587308的博客
10-05 1892
将Signature对象转化为MD5字符串的方法
Android验证apk签名
zhengjuqiang的博客
04-26 2160
1.验证apk签名 打开待查看的apk,将其中META-INF文件夹解压出来,得到其中的CERT.RSA文件 $ keytool -printcert -file META-INF/CERT.RSA 2.apk打签名 jarsigner -verbose -keystore [keystorePath] -signedjar [apkOut] [apkIn] [
聊聊Android签名检测7种核心检测方案详解
wei_java144的博客
10-11 1177
这篇文章只讲Android签名检测,安卓发展到现在,因为国内环境没有谷歌市场,所以很多官方推荐的Api没法使用 ,所以国内的签名检测方式也是“千奇百怪”。发展至今每种方法都有一些绕过或者对抗手段,这些方法很难说就一定准 ,但是我们能做的就是取尽可能的提高攻击者的成本,提升Apk的签名检测能力,防止灰黑产进行攻击。基础的什么Java获取签名信息这种基础方案,这里暂时跳过 ,不在过多叙述。
java生成及验证android签名文件源码及生成签名文件
09-05
此文件包含生成android签名文件keystore及验证的源码还包含生成的keystore文件。放到项目中即可使用
Android应用签名获取工具
01-24
Android应用签名获取工具,解压缩后内为APK文件,输入目标包名获取应用签名,方便快捷。希望能帮助到大家
Android签名机制介绍
10-30
一、Android签名机制--基础概念 1. 消息摘要算法 2. 非对称加密算法(RSA算法) 3. 数字签名 二、Android签名机制--APK签名过程 1. APK签名概述 2. APK签名相关的文件 3. 签名的过程(MANIFEST.MF) 4. 签名的过程...
android apk 签名(平台和普通签名
weixin_43738701的博客
09-28 3467
因为做了太多的终端项目,客户总会有自己的apk提供,这时候各种签名问题就来了,最近整理了一下相关知识,分享给大家。 签名的用处: 1.应用程序升级:如果你希望用户无缝升级到新的版本,那么你必须用同一个证书进行签名。这是由于只有以同一个证书签名,系统才会允许安装升级的应用程序。如果你采用了不同的证书,那么系统会要求你的应用程序采用不同的包名称,在这种情况下相当于安装了一个全新的应用程序。如果想升级应用程序,签名证书要相同,包名称要相同! 2.应用程序模块化:Android系统可以允许同一个证书签名...
Android11.0 生成系统签名.jks文件并对Apk进行签名
Framework-coder的博客
06-20 5310
根据源码文件生成系统签名.jks文件,然后对APK进行系统签名。介绍了Studio引用.jks签名文件和手动使用.jks签名文件对APK签名
Android签名机制
星痕_Raphael
04-18 280
1.  为什么要签名      1)  发送者的身份认证          由于开发商可能通过使用相同的 Package Name 来混淆替换已经安装的程序,以此保证签名不同的包不被替换     2)  保证信息传输的完整性          签名对于包中的每个文件进行处理,以此确保包中内容不被替换     3)  防止交易中的抵赖发生, Market 对软件的要求 2.   签名的说明 
android 证书验证流程分析_Android签名机制之---签名验证过程详解
Android framework
08-22 442
android 证书验证流程分析_Android签名机制之---签名验证过程详解
关于安卓开发签名校验
qq_40114753的博客
11-14 680
安卓开发签名校验
app运行时签名校验
Yzw_92_4_11的博客
05-12 2407
有时候我们为了防止自己的应用被反编译后重新打包,不得不采取运行时进行签名校验的方式。 因为会经常用到,所以在这里整理了一下校验方式。 public class SignCheck { private Context context; private String cer = null; private String realCer = null; priva
Android 签名&校验
tq501501的博客
01-07 1691
Android 签名校验 签名校验Android 安全性中非常重要的一项。在build apk时或是制作OTA包时都需要做签名操作,并且在客户端做校验动作,保证升级安装过程的可靠性。 一、签名操作 1、在源码环境使用Android.mk文件编译时签名 # 源码签名文件目录:build\target\product\security\ # 可选签名类型如下 # 1、testkey:默认签名(非系...
安卓应用签名校验
xiaomudouer的博客
03-15 1012
问题:app程序未对签名证书进行校验,被其他证书重新签名可正常启动 apk打包签名思路: Build -> Generate Signed Bundle/APK -> APK -> Create New 创建一个新的证书 (也可以选择一个已有的证书)->ok -> 选择生成的APK文件所在目录、选择apk版本 第1步就是我们打包的常规步骤 第2步用第三方梆梆软件加固 第3步将加固的apk进行第三方软件签名 将apk文件解压,在META-INF文件中可找到签名文件,文件后缀为.
Android APK文件的签名V2查找、验证
q1165328963的博客
08-28 1886
在查找V2签名块时,我们需要了解APK文件的结构,明白签名数据块在中央目录之前存放,并且需要知道签名块的数据结构。 在签名验证过程中,更需要熟悉v2分块的数据存储结构形式。通过找到需要签名的数据,签名数据,还有签名算法、公钥。之后,就能使用公钥验签私钥签名的数据。
android 签名校验
06-07
Android 签名校验是指在 Android 应用安装时,检查应用是否被篡改或者来自于可信的开发者。每个 Android 应用都必须使用数字证书进行签名,以确保应用的完整性和安全性。 在 Android 应用安装时,系统会检查应用的数字证书是否与系统中已知的证书相匹配。如果证书不匹配或者证书无效,系统会提示用户应用可能不安全,并且要求用户确认是否继续安装。 开发者可以使用 Android Studio 或者命令行工具对应用进行签名签名过程中,开发者需要提供一个私钥和一个证书,用于对应用进行数字签名签名完成后,开发者需要将证书发布到公共信任机构,以确保应用被认为是可信的。 总之,Android 签名校验Android 系统保证应用安全性的重要措施之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值