Android 4.2 JellyBean apk 签名方法

最新推荐文章于 2024-02-04 14:07:26 发布
最新推荐文章于 2024-02-04 14:07:26 发布
阅读量5.9k 收藏 5
点赞数 1
分类专栏: android移动开发

http://blog.csdn.net/virus026/article/details/8979021

 

通过阅读signapk源码,我们可以理清签名APK包的整个过程。


1、 生成MANIFEST.MF文件:

程序遍历apk包中的所有文件(entry),对非文件夹非签名文件的文件,逐个生成SHA1的数字签名信息,再用Base64进行编码。具体代码见这个方法:

    private  static Manifest addDigestsToManifest(JarFile jar)

关键代码如下:

 1      for (JarEntry entry: byName.values()) {
 2         String name = entry.getName();
 3          if (!entry.isDirectory() && !name.equals(JarFile.MANIFEST_NAME) &&
 4             !name.equals(CERT_SF_NAME) && !name.equals(CERT_RSA_NAME) &&
 5                (stripPattern ==  null ||!stripPattern.matcher(name).matches())) {
 6                 InputStream data = jar.getInputStream(entry);
 7                  while ((num = data.read(buffer)) > 0) {
 8                     md.update(buffer, 0, num);
 9                 }
10                 Attributes attr =  null;
11                  if (input !=  null) attr = input.getAttributes(name);
12                 attr = attr !=  null ?  new Attributes(attr) :  new Attributes();
13                 attr.putValue("SHA1-Digest", base64.encode(md.digest()));
14                 output.getEntries().put(name, attr);
15           }
16     }


    之后将生成的签名写入MANIFEST.MF文件。关键代码如下:

1     Manifest manifest = addDigestsToManifest(inputJar);
2     je =  new JarEntry(JarFile.MANIFEST_NAME);
3     je.setTime(timestamp);
4     outputJar.putNextEntry(je);
5     manifest.write(outputJar);

    这里简单介绍下SHA1数字签名。简单地说,它就是一种安全哈希算法,类似于MD5算法。它把任意长度的输入,通过散列算法变成固定长度的输出(这里我们称作“摘要信息”)。你不能仅通过这个摘要信息复原原来的信息。另外,它保证不同信息的摘要信息彼此不同。因此,如果你改变了apk包中的文件,那么在apk安装校验时,改变后的文件摘要信息与MANIFEST.MF的检验信息不同,于是程序就不能成功安装。

用SHA1将apk包中的非签名文件算出哈希值。


2、 生成CERT.SF文件:

对前一步生成的Manifest,使用SHA1-RSA算法,用私钥进行签名。关键代码如下:

1     Signature signature = Signature.getInstance("SHA1withRSA");
2     signature.initSign(privateKey);
3     je =  new JarEntry(CERT_SF_NAME);
4     je.setTime(timestamp);
5     outputJar.putNextEntry(je);
6     writeSignatureFile(manifest,
7      new SignatureOutputStream(outputJar, signature));

    RSA是一种非对称加密算法。用私钥通过RSA算法对摘要信息进行加密。在安装时只能使用公钥才能解密它。解密之后,将它与未加密的摘要信息进行对比,如果相符,则表明内容没有被异常修改。

用RSA算法和私钥将哈希值加密。只由发布者才有真正的私钥。公钥是public的。


3、 生成CERT.RSA文件:

生成MANIFEST.MF没有使用密钥信息,生成CERT.SF文件使用了私钥文件。那么我们可以很容易猜测到,CERT.RSA文件的生成肯定和公钥相关。

客户将CERT.RSA中记录的公钥解密得出哈希值,和没有加密的哈希值比较判断apk包是否被篡改。

CERT.RSA文件中保存了公钥、所采用的加密算法等信息。核心代码如下:

1     je =  new JarEntry(CERT_RSA_NAME);
2     je.setTime(timestamp);
3     outputJar.putNextEntry(je);
4     writeSignatureBlock(signature, publicKey, outputJar);

    其中writeSignatureBlock的代码如下:

 1      private  static  void writeSignatureBlock(
 2         Signature signature, X509Certificate publicKey, OutputStream out)
 3              throws IOException, GeneralSecurityException {
 4                 SignerInfo signerInfo =  new SignerInfo(
 5                  new X500Name(publicKey.getIssuerX500Principal().getName()),
 6                 publicKey.getSerialNumber(),
 7                 AlgorithmId.get("SHA1"),
 8                 AlgorithmId.get("RSA"),
 9                 signature.sign());
10 
11         PKCS7 pkcs7 =  new PKCS7(
12              new AlgorithmId[] { AlgorithmId.get("SHA1") },
13              new ContentInfo(ContentInfo.DATA_OID,  null),
14              new X509Certificate[] { publicKey },
15              new SignerInfo[] { signerInfo });
16 
17         pkcs7.encodeSignedData(out);
18     }

    好了,分析完APK包的签名流程,我们可以清楚地意识到:

1、 Android签名机制其实是对APK包完整性和发布机构唯一性的一种校验机制。

2、 Android签名机制不能阻止APK包被修改,但修改后的再签名无法与原先的签名保持一致。(拥有私钥的情况除外)。

3、 APK包加密的公钥就打包在APK包内,且不同的私钥对应不同的公钥。换句话言之,不同的私钥签名的APK公钥也必不相同。所以我们可以根据公钥的对比,来判断私钥是否一致。

编译时签名

Android 只会对apk文件做签名。 

1. 在definitions.mk中, Android将build/tools/signapk/signapk.jar 包装成一个宏方法。

[cpp] view plain copy print ?
  1. define sign-package  
  2. $(hide) mv $@ $@.unsigned  
  3. $(hide) java -jar $(SIGNAPK_JAR) \  
  4.     $(PRIVATE_CERTIFICATE) $(PRIVATE_PRIVATE_KEY) $@.unsigned $@.signed  
  5. $(hide) mv $@.signed $@  
  6. endef  
define sign-package
$(hide) mv $@ $@.unsigned
$(hide) java -jar $(SIGNAPK_JAR) \
    $(PRIVATE_CERTIFICATE) $(PRIVATE_PRIVATE_KEY) $@.unsigned $@.signed
$(hide) mv $@.signed $@
endef


config.mk 定义了SIGNAPK_JAR := $(HOST_OUT_JAVA_LIBRARIES)/signapk$(COMMON_JAVA_PACKAGE_SUFFIX)

PRIVATE_CERTIFICATE 和 PRIVATE_PRIVATE_KEY由调用方法赋值。


2. 在android build/core下面只由prebuild.mk 和 package.mk 调用了singn-package宏, 

A) 当系统包含预先编译过的.apk文件时,Andoid.mk 

[html] view plain copy print ?
  1. LOCAL_PATH:= $(call my-dir)  
  2.   
  3. include $(CLEAR_VARS)  
  4. LOCAL_MODULE :BugReporter  
  5.   
  6. LOCAL_MODULE_TAGS :optional  
  7. LOCAL_SRC_FILES := $(LOCAL_MODULE).apk  
  8. LOCAL_MODULE_CLASS :APPS  
  9.   
  10. LOCAL_MODULE_SUFFIX := $(COMMON_ANDROID_PACKAGE_SUFFIX)  
  11. LOCAL_CERTIFICATE :platform  
  12.   
  13. include $(BUILD_PREBUILT)  
LOCAL_PATH:= $(call my-dir)

include $(CLEAR_VARS)
LOCAL_MODULE := BugReporter

LOCAL_MODULE_TAGS := optional
LOCAL_SRC_FILES := $(LOCAL_MODULE).apk
LOCAL_MODULE_CLASS := APPS

LOCAL_MODULE_SUFFIX := $(COMMON_ANDROID_PACKAGE_SUFFIX)
LOCAL_CERTIFICATE := platform

include $(BUILD_PREBUILT)


 

In config.mk BUILD_PREBUILT:= $(BUILD_SYSTEM)/prebuilt.mk

B) 当系统包含带源代码的.apk文件时,

[html] view plain copy print ?
  1. LOCAL_PATH:= $(call my-dir)  
  2. include $(CLEAR_VARS)  
  3.   
  4. LOCAL_JAVA_LIBRARIES :bouncycastle telephony-common  
  5. LOCAL_STATIC_JAVA_LIBRARIES :guava android-support-v4 jsr305  
  6.   
  7. LOCAL_MODULE_TAGS :optional  
  8.   
  9. LOCAL_SRC_FILES := $(call all-java-files-under, src)  
  10.   
  11. LOCAL_PACKAGE_NAME :Settings  
  12. LOCAL_CERTIFICATE :platform  
  13.   
  14. LOCAL_PROGUARD_FLAG_FILES :proguard.flags  
  15.   
  16. include $(BUILD_PACKAGE)  
LOCAL_PATH:= $(call my-dir)
include $(CLEAR_VARS)

LOCAL_JAVA_LIBRARIES := bouncycastle telephony-common
LOCAL_STATIC_JAVA_LIBRARIES := guava android-support-v4 jsr305

LOCAL_MODULE_TAGS := optional

LOCAL_SRC_FILES := $(call all-java-files-under, src)

LOCAL_PACKAGE_NAME := Settings
LOCAL_CERTIFICATE := platform

LOCAL_PROGUARD_FLAG_FILES := proguard.flags

include $(BUILD_PACKAGE)


config.mk:70:BUILD_PACKAGE:= $(BUILD_SYSTEM)/package.mk


3. 那么prebuilt.mk和package.mk是如何给sign-package的PRIVATE_CERTIFICATE 和 PRIVATE_PRIVATE_KEY变量赋值的呢。

对于prebuit apk来说,如果LOCAL_CERTIFICATE是presigned或是空的话,不指定LOCAL_CERTIFICATE路径

对于源代码的apk来说,如果 LOCAL_CERTIFICATE是EXTERNAL的话,不指定LOCAL_CERTIFICATE路径

否则的话LOCAL_CERTIFICATE的路径是:

[html] view plain copy print ?
  1. # If this is not an absolute certificate, assign it to a generic one.  
  2.  ifeq ($(dir $(strip $(LOCAL_CERTIFICATE))),./)  
  3.      LOCAL_CERTIFICATE := $(dir $(DEFAULT_SYSTEM_DEV_CERTIFICATE))$(LOCAL_CERTIFICATE)  
  4.  endif  
 # If this is not an absolute certificate, assign it to a generic one.
  ifeq ($(dir $(strip $(LOCAL_CERTIFICATE))),./)
      LOCAL_CERTIFICATE := $(dir $(DEFAULT_SYSTEM_DEV_CERTIFICATE))$(LOCAL_CERTIFICATE)
  endif


LOCAL_CERTIFICATE在我们自己定义的Android.mk中可以是: platform, media, shared or test。 例子中是platform, 那我们就以platform为例,


[html] view plain copy print ?
  1. ifdef PRODUCT_DEFAULT_DEV_CERTIFICATE    
  2. DEFAULT_SYSTEM_DEV_CERTIFICATE := $(PRODUCT_DEFAULT_DEV_CERTIFICATE)  
  3. else    
  4. DEFAULT_SYSTEM_DEV_CERTIFICATE :build/target/product/security/testkey  
  5. endif  
ifdef PRODUCT_DEFAULT_DEV_CERTIFICATE  
DEFAULT_SYSTEM_DEV_CERTIFICATE := $(PRODUCT_DEFAULT_DEV_CERTIFICATE)
else  
DEFAULT_SYSTEM_DEV_CERTIFICATE := build/target/product/security/testkey
endif


在config.xml中,如果定义了PRODUCT_DEFAULT_DEV_CERTIFICATE, DEFAULT_SYSTEM_DEV_CERTIFICATE就等于PRODUCT_DEFAULT_DEV_CERTIFICATE;

否则的话,就是"build/target/product/security/testkey".


product_config.xml

[html] view plain copy print ?
  1. PRODUCT_DEFAULT_DEV_CERTIFICATE := \  
  2.     $(strip $(PRODUCTS.$(INTERNAL_PRODUCT).PRODUCT_DEFAULT_DEV_CERTIFICATE))  
  3. ifdef PRODUCT_DEFAULT_DEV_CERTIFICATE  
  4. ifneq (1,$(words $(PRODUCT_DEFAULT_DEV_CERTIFICATE)))  
  5.     $(error PRODUCT_DEFAULT_DEV_CERTIFICATE='$(PRODUCT_DEFAULT_DEV_CERTIFICATE)', \  
  6.       only 1 certificate is allowed.)  
  7. endif  
  8. endif   
PRODUCT_DEFAULT_DEV_CERTIFICATE := \
    $(strip $(PRODUCTS.$(INTERNAL_PRODUCT).PRODUCT_DEFAULT_DEV_CERTIFICATE))
ifdef PRODUCT_DEFAULT_DEV_CERTIFICATE
ifneq (1,$(words $(PRODUCT_DEFAULT_DEV_CERTIFICATE)))
    $(error PRODUCT_DEFAULT_DEV_CERTIFICATE='$(PRODUCT_DEFAULT_DEV_CERTIFICATE)', \
      only 1 certificate is allowed.)
endif
endif


给PRODUCT_DEFAULT_DEV_CERTIFICATE赋值。可以在这里在编译时更改默认的key的位置。


给apk压缩包签名

在build/tools/releasetools/sign_target_files_apks脚本可以给





 

zhudaozhuan
关注
专栏目录
APK 签名:v1 v2 v3 v4
weixin_46569059的博客
09-15 1万+
通过对 Apk 进行签名,开发者可以证明对 Apk 的所有权和控制权,可用于安装和更新其应用。而在 Android 设备上的安装 Apk ,如果是一个没有被签名Apk,则会被拒绝安装。 在安装 Apk 的时候,软件包管理器也会验证 Apk 是否已经被正确签名,并且通过签名证书和数据摘要验证是否合法没有被篡改。只有确认安全无篡改的情况下,才允许安装在设备上。 简单来说,APK签名主要作用有两个: 证明 APK 的所有者。 允许 Android 市场和设备校验 APK 的正确性。
Android体系结构和APK基本结构
旧人小表弟的博客 - 无业游民学习笔记
12-14 292
Android历史版本 等级 版本号 代号 API1: Android 1.0 API2: Android 1.1 Petit Four API3: Android 1.5 Cupcake API4: Android 1.6 Donut API5: Android 2.0 éclair API6: Android 2.0.1 éclair API7: Android 2.1 éclair API8: Android 2.2 - 2.2.3 Froyo A
Android 4.2 JellyBean apk 签名方法
virus026的专栏
05-28 2373
通过阅读signapk源码,我们可以理清签名APK包的整个过程。 1、 生成MANIFEST.MF文件: 程序遍历apk包中的所有文件(entry),对非文件夹非签名文件的文件,逐个生成SHA1的数字签名信息,再用Base64进行编码。具体代码见这个方法:     private static Manifest addDigestsToManifest(JarFi
来详细的聊一聊Android Apk的四代签名
公众号:BennuCTech
04-13 911
大部分开发者对apk签名还停留在APK v2,对APK v3和APK v4了解很少,而且网上大部分文章讲解的含糊不清,所以根据官网文档重新整理一份。 apk签名APK v1到APK v2改动很大,是颠覆性的,而APK v3只是对APK v2的一次升级,APK v4则是一个补充。
apk v1 v2 v3 v4签名方法
u014692069的博客
04-23 960
其中--v1-signing-enabled false --v2-signing-enabled true --v3-signing-enabled false根据个人需要设置。签名用到的工具apksigner 在sdk的build-tools文件夹里。
Android签名机制详解】二:Android V1、V2、V3、V4签名方案
sxf137731的博客
05-29 4070
步步为营,来你了解Android签名机制
Android Studio导出apk在手机上安装提示“文件不存在或已失效”
Zicon的博客
10-05 5043
apk在手机上安装提示“文件不存在或已失效”
安卓4.2camera提取
02-06
Android 4.2,也称为Jelly Bean,带来了许多改进和新特性,旨在提升用户体验和相机功能。在这个"安卓4.2camera提取"的主题中,我们将深入探讨Android 4.2版本中相机应用的相关知识点。 1. **多窗口模式**:Android ...
Android 开发系列教程之(一)Android基础知识
Andriodqin的博客
08-05 6482
什么是Android Android一词最早是出现在法国作家维里耶德利尔·亚当1986年发表的《未来夏娃》这部科幻小说中,作者利尔·亚当将外表像人类的机器起名为Android,这就是Android小人名字的由来。Android的Logo是由伊琳娜-布洛克设计的,设计灵感来源于男女厕所门上的图形符号,外加头上两根天线。 Android 发展史 1、AndroidBeta(阿童木)2008年8月18...
1、Android概述
w00347190的博客
10-02 1032
安卓(Android)是一种基于Linux的自由及开放源代码的操作系统。主要使用于移动设备,如智能手机和平板电脑,由Google公司和开放手机联盟领导及开发。Android操作系统最初由Andy Rubin开发,主要支持手机。 2005年8月由Google收购注资。2007年11月,Google与84家硬件制造商、软件开发商及电信营运商组建开放手机联盟共同研发改良Android系统。随后Goog...
APK签名 v1、 v2、v3、v3.1、v4 解析
最新发布
一杯咖啡的渗透记忆
02-04 2429
V3 签名与 V2 签名类似,仍然采用增量签名的方式,只对 APK 内容的部分进行签名。V3 签名在验证和完整性检查方面与 V2 签名相似,但它还提供了一些额外的安全特性,例如签名块的完整性保护和签名的附加时间戳。需要注意的是,V3 签名是可选的,应用可以同时包含 V1、V2 和 V3 三种签名方案。它采用了一种增量签名方法,只对 APK 内容的部分进行签名,而不是整个 APK 文件。在支持 V2 签名的设备上,应用将同时包含 V1 和 V2 两种签名方案,以保证在各种设备上的兼容性和验证方式。
Android签名打包时,出现V4包冲突
MonkeyLi的博客
06-03 1097
这次写项目,由于接入的sdk比较多,最后打签名包时出现v4包冲突,在网上找到的方法,试了好几种办法都没有成功解决,最后通过比较暴力的方式来解决,剔除所有的v4包,成功解决了问题。 解决办法: configurations { all*.exclude group: 'com.android.support', module: 'support-v4' } 项目中还有其他包冲突,最后都是通过这...
Android系统签名简介
sunyugg的博客
04-23 3903
apk签名,简单说开发者可以通过签名 对应用进行标识和更新。包名在一个设备上是唯一的,这样可以避免被相同包名应用随意覆盖安装。这是一个非常重要的安全功能。系统中的签名文件,也是对系统中应用进行签名,编译应用是可以指定签名类型。 下面介绍的是Android系统中的签名相关内容。 Android系统中的主要签名文件 media.pk8,media.x509.pem;platform...
platform PRESIGNED Android 系统如何内置已经编译好的APK
热门推荐
jinchengzhou的专栏
08-06 1万+
转载:https://www.3566t.com/news/mtnn/1592158.htmlhttps://www.3566t.com/news/mtnn/1592158.html 核心提示:由于项目需求,需要将百度输入法内置到MTK平台手机中,因此看到这一块,本人很菜,如有错误,希望各位大神帮助改正。非常感谢。1.预装apk的目录可以选择如下两个目录... 由于项目需求,需要将百度输入法内...
android 系统编译普通应用的签名方式
Android framework
03-01 725
android 系统编译普通应用的签名方式
关于系统内置apk签名问题。
Encode_myself的专栏
09-29 1464
近期接到个需求,是得将apk build到系统里,并且在平时的过程中还是可以进行调试的。 那么问题来了,我们都知道系统内置的apk是不能卸载的,那能不能reinstall呢。 一般的系统apk,android.mk都有这么一句: LOCAL_CERTIFICATE := platform 对于这句而言,不论你内置的apk签名与否,install之前都会将apk做resig
【安卓的签名和权限】
xuanyulevel6的博客
01-02 1534
大部分公司在自定义自己的秘钥的时候,都会做出如下修改在产品的mk中指定PRODUCT_DEFAULT_DEV_CERTIFICATE,如:device/amlogic/产品名/产品名.mk:endif一旦指定了PRODUCT_DEFAULT_DEV_CERTIFICATE就不会再使用默认的testkeybuild/core/config.mk文件:elseendif。
系统预置三方应用so库加载失败:System.err: java.lang.UnsatisfiedLinkError: dlopen failed: cannot locate symbol...
hanhan1016的专栏
12-29 6026
1.问题:预置三方应用到system/app目录,且保持应用的签名即LOCAL_CERTIFICATE := PRESIGNED;预置成功后,使用应用过程中,应用闪退。但是直接安装(adb install或是把apk放在文件管理器中然后进行安装)不存在此问题。 2.关键Log: 12-22 19:33:30.664 10290 10290 W System.err: java.lang.UnsatisfiedLinkError: dlopen failed: cannot locate symbol
Android.mk总结
wq892373445的博客
12-05 142
一、预装应用Android.mk文件常见用法 1、第三方apk无源码 LOCAL_PATH:=$(call my-dir) include $(CLEAR_VARS) LOCAL_MODULE:=Demo//(应用名称) LOCAL_MODULE_TAGS:=optional LOCAL_MODULE_CLASS:=APPS LOCAL_SRC_FILES:=$(LOCAL_MODULE).apk...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值