APK签名机制原理详解

最新推荐文章于 2024-04-21 11:35:03 发布
最新推荐文章于 2024-04-21 11:35:03 发布
阅读量1w 收藏 66
点赞数 8
分类专栏: Android 文章标签: Android 签名 apk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwjemperor/article/details/80877203
版权

转载请注明出处:https://blog.csdn.net/zwjemperor/article/details/80877203
github:https://github.com/rushgit/zhongwenjun.github.com

前言

众所周知,Android系统在安装Apk的过程中,会对Apk进行签名校验,校验通过后才能安装成功。那你知道签名校验的机制是什么?具体校验的是什么内容吗?申请第三方SDK(如微信支付)时填入的SAH1值是什么?目前众多的快速批量打包方案又是如何绕过签名检验的?

我将通过一系列的文章来解开这些疑惑:

  1. Apk签名的基本概念和用法(本篇)
  2. Apk签名机制之——JAR签名机制详解
  3. Apk签名机制之——V2签名机制详解

这篇文章先来介绍Apk签名相关的基本知识。

  1. 签名是什么?如何进行签名?
  2. keystore和证书格式
  3. jarsigner和apksigner的区别

1. 签名是什么?

要知道签名是什么,先来看为什么需要签名 。大家都知道,在消息通信时,必须至少解决两个问题:一是确保消息来源的真实性,二是确保消息不会被第三方篡改。在安装Apk时,同样需要确保Apk来源的真实性,以及Apk没有被第三方篡改。如何解决这两个问题呢?方法就是开发者对Apk进行签名:在Apk中写入一个“指纹”。指纹写入以后,Apk中有任何修改,都会导致这个指纹无效,Android系统在安装Apk进行签名校验时就会不通过,从而保证了安全性。

要了解如何实现签名,需要了解两个基本概念:数字摘要和数字证书。

1.1 数字摘要

数字摘要是将任意长度的消息变成固定长度的短消息,它类似于一个自变量是消息的函数,也就是Hash函数。数字摘要就是采用单向Hash函数将需要加密的明文“摘要”成一串固定长度的密文,这一串密文又称为数字指纹,它有固定的长度,而且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。

简单来说,就是对一个任意长度的数据,通过一个Hash算法计算后,都可以得到一个固定长度的二进制数据,这个数据就称为“摘要”。摘要具有下面的几个特征:

  1. 唯一性

    在不考虑碰撞的情况下,不同的数据的计算出的摘要是不同的。

  2. 固定长度

    不同的Hash算法计算的长度是不一样的,但对同一个算法来说是一样的。比较常用的Hash算法有MD5和SHA1,MD5的长度是128拉,SHA1的长度是160位。

  3. 不可逆性

    即从正向计算的摘要不可能逆向推导出原始数据。

1.2 签名和校验的大体过程

前面已经说到,可以通过签名来确保数据来源的可靠性和数据的不可篡改性。签名就是在摘要的基础上再进行一次加密,对摘要加密后的数据就可以当作数字签名,在安装A

最低0.47元/天 解锁文章
zhong_wenjun
关注
  • 8
    点赞
  • 66
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Android APK签名机制分析
BridgeGeorge
09-28 1231
Android 签名介绍所有的Android应用程序要想在设备上安装,必须经过签名,不管是Debug版本还是Release版本。下面分别介绍这两种模式。 Debug模式 这个模式的签名过程由系统自动完成。因为采用默认的keystore,用户不需要特地输入密码等信息。签名所用工具Keytool和Jarsinger均由JDK提供,因此需要保证JAVA_HOME环境变量的正确性。 默认条件下,系统会存放
Android APK优化工具Zipalign详解
09-01
本文将深入探讨Zipalign的工作原理、使用方法以及为什么要进行APK优化。 首先,让我们理解一下Zipalign如何进行优化。Zipalign的主要任务是对APK文件中的资源进行4字节对齐,确保数据结构对齐标准(DSA)落在4字节...
详解Android v1、v2、v3签名(小结)
08-25
主要介绍了详解Android v1、v2、v3签名(小结),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
【Android学习】Android APK 签名原理
bugyinyin的博客
04-08 746
然后,再逐条计算 MANIFEST.MF 文件中每一个块的 SHA1,并经过 BASE64 编码后,记录在 CERT.SF 中的同名块中,属性的名字是 “SHA1-Digest”。使用不同的 key 生成的签名信息会不同,不同的私钥对应不同的公钥,因此最大的区别是签名证书中存放的公钥会不同,所以我们可以通过提取 CERT.RSA 中的公钥来检查安装包是否被重新签名了。一种能产生特殊输出格式的算法,其原理是根据一定的运算规则对原始数据进行某种形式的信息提取,被提取出的信息就被称作原始数据的消息摘要。
apk自动签名和查看签名
最新发布
savet的博客
04-21 1054
一、自动签名1.创建jks签名文件,如果已经创建,则跳过此步骤Build->Generate Signed Bundle or APK,选择APK,然后Next,然后选择Create new2.在app/build.gradle中,在android{…}中添加以下内容release {storeFile file('android.jks') // 对应keystroe的路径storePassword 'android' // 对应keystroe的密码。
Android apk签名原理
分享Android开发知识
02-09 7398
一、什么是apk签名 签名是摘要与非对称密钥加密相相结合的产物,摘要就像内容的一个指纹信息,一旦内容被篡改,摘要就会改变,签名是摘要的加密结果,摘要改变,签名也会失效。Android APK签名也是这个道理,如果APK签名跟内容对应不起来,Android系统就认为APK内容被篡改了,从而拒绝安装,以保证系统的安全性。 应用程序的作者使用自己的私钥签名APK文件,并将签名与公钥一起发布到APK中,这个过程称之为签名。当应用程序被安装时,用发布的公钥去解析签名,并与文件的hash进行比对,这个过程叫验签。 二、
APK签名机制原理详解-by:nixs
学习一定要有针对性的练习-实操!
11-24 1010
转载请注明出处:https://blog.csdn.net/zwjemperor/article/details/80877203 github:https://github.com/rushgit/zhongwenjun.github.com 前言 众所周知,Android系统在安装Apk的过程中,会对Apk进行签名校验,校验通过后才能安装成功。那你知道签名校验的机制是什么?具体校验的是什么内容吗?申请第三方SDK(如微信支付)时填入的SAH1值是什么?目前众多的快速批量打包方案又是如何绕过签名检.
Android apk 签名 原理,APK签名机制说明
weixin_39653448的博客
05-28 868
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?背景由于业务需求,我们需要统计用户下载安装apk的来源,所以针对不同的应用市场或活动页面,我们发布的apk都带了对应的渠道信息,针对apk携带对应的渠道信息,网上已经有很多成熟的方案了,例如使用gradle来构建不同的渠道包等方式。然而考虑到打包效率的问题,我们并没有使用gradle来构建多渠道的方式,而是使用美团的自动...
apk签名验证机制
weixin_30587025的博客
10-19 248
声明: 1.本帖转载自:http://riusksk.blogbus.com/logs/272154406.html,仅供自用,勿喷 2.欢迎交流学习 签名后的APK,在/META-INF目录下会生成以下3个文件: MANIFEST.MF:保存除META-INF文件以外其它各文件的SHA-1+base64编码后的值。 CERT.SF:在SHA1-...
Android 7.0中新签名对多渠道打包的影响详解
01-05
由于Android7.0发布了新的签名机制,加强了签名的加固,导致在新的签名机制下无法通过美团式的方式再继续打多渠道包了。不过在说新的签名机制对打包方案的 影响和为什么会影响我们原有的打包机制之前,需要先简单...
android 签名 详解
05-15
Android 签名详解 Android 签名是一种安全机制,用于防止 Android 应用程序被反编译和篡改。通过签名,开发者可以确保其应用程序的身份和完整性,从而保护用户的安全和隐私。 Android 签名的重要性 Android 签名...
Gen_Signature_Android.apk
12-23
《Android应用签名详解——以Gen_Signature_Android.apk为例》 在移动应用开发领域,尤其是Android系统中,应用的签名是确保软件安全性和完整性的关键环节...正确理解和运用签名机制,是每个Android开发者必备的技能。
【Android Gradle 插件】ProductFlavor 配置 ( ProductFlavor#ndk 配置 | ProductFlavor#proguardFiles 配置 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
03-18 997
一、ProductFlavor#multiDexEnabled 配置、 二、ProductFlavor#proguardFiles 配置
Android签名打包、密钥库、密钥全面解析
野生程序员
08-21 1万+
前言Android要求所有的应用必须进行数字签名才可以发布,也就是我们平时所说的使用证书打包然后上传市场。这个签署的过程又包括创建和存储证书,使用不同证书签署不同的构建配置,及自动签署过程。重要的角色:证书和密钥库 公钥证书又称为数字证书和身份证书包含公钥/私钥对的公钥,以及可以标识密钥所有者的一些其他元素,例如名称和位置,证书持有者持有对应的私钥在签署工具签署我们的APP时,会自动将我们的公钥证
打包apk时需要生成签名证书keystore
热门推荐
梨涡浅笑あ
05-04 2万+
进行Android项目开发中想要将androidapp导出为apk的时候需要选择一个数字证书,即keystore文件(android.keystore),它用来对我们的APP进行签名,是导出APP的一个钥匙,一般需要我们自己生成android.keystore文件使用keytool命令,如果命令窗口提示“不是内部或外部命令”,则说明电脑还没有安装JDK,所以需要自己去搜索并安装JDK,安装完毕后,...
Unity 查看keystore的SHA1值
阳尘子的博客
08-14 711
1、先定位到java的bin目录: 2、输入命令:keytool -list -v -keystore xxx.keystore xxx.keystore为你的文件的路径 3、会提示你输入口令,输入即可
Android签名机制用法详解
墨迹是种态度
04-27 686
原文链接 Android独有的安全机制有:权限机制签名机制,混淆机制等,这里我们来了解签名机制的使用方法 签名机制主要作用:升级App,检查权限 升级App 用户在升级一款已经安装过的App时,如果程序的修改来自于同一来源,则允许升级安装,否则会提示签名不一致无法安装的提示。 权限检查 对于申请权限的  protection level 为 signature
Android apk签名详解——AS签名、获取签名信息、系统签名、命令行签名
jb_home的博客
11-15 1万+
Apk签名,每一个Android开发者都不陌生。它就是对我们的apk加了一个校验参数,防止apk被掉包。一开始做Android开发,就接触到了apk签名;后来在微信开放平台、高德地图等平台注册时,需要填写apk签名的md5值和sha256值;再后来做系统应用,接触到了系统签名;而后就想了解下apk的生成机制,学习了如何用命令行进行签名。 ...
APK签名原理以及方法
狼行千里吃肉
10-13 491
1、签名机制 Android系统在安装APK的时候,首先会检查APK签名,如果发现签名文件不存在或校验签名失败,则会拒绝安装,所以应用程序在发布之前一定要进行签名,给APK签名可以带来以下好处: ① 应用程序升级:如果想无缝升级一个应用,Android系统要求应用程序的新版本与老版本具有相同的签名和包名,若包名相同而签名不同,系统会拒绝安装新版应用; ② 应用程序模块化:Android系统
Android APK 签名打包原理分析
09-09
Android APK签名打包的原理是将apk文件本身视为一个zip文件,并按照ZIP文件格式插入APK Signing Block分块来记录签名信息。如果要重新打包后的应用程序能够在Android设备上安装,就必须对其进行重签名。这是因为只要修改了APK中的任何内容,就必须重新签名才能避免安装失败的提示。V2签名保护机制也是其中的一种方法。在签名过程中,开发者通常会使用自己创建的证书进行签名,如果没有指定证书,则会默认使用系统的证书。证书文件中包含一对公私钥,用私钥对APK进行签名。当APK安装到Android手机时,系统会使用证书中对应签名私钥的公钥来验证APK是否被更改过。如果没有被更改过,则可以安装在手机上。值得注意的是,默认的debug.keystore证书是不安全的,任何app store都不允许使用debug.keystore打包的APK发布上去,因为debug.keystore的密码是默认的。因此,APK必须经过签名才能被安装到Android设备上。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值