APK签名机制原理详解_修改apk签名原理-程序员宅基地

技术标签: 签名  apk  Android  

转载请注明出处:https://blog.csdn.net/zwjemperor/article/details/80877203
github:https://github.com/rushgit/zhongwenjun.github.com

前言

众所周知,Android系统在安装Apk的过程中,会对Apk进行签名校验,校验通过后才能安装成功。那你知道签名校验的机制是什么?具体校验的是什么内容吗?申请第三方SDK(如微信支付)时填入的SAH1值是什么?目前众多的快速批量打包方案又是如何绕过签名检验的?

我将通过一系列的文章来解开这些疑惑:

  1. Apk签名的基本概念和用法(本篇)
  2. Apk签名机制之——JAR签名机制详解
  3. Apk签名机制之——V2签名机制详解

这篇文章先来介绍Apk签名相关的基本知识。

  1. 签名是什么?如何进行签名?
  2. keystore和证书格式
  3. jarsigner和apksigner的区别

1. 签名是什么?

要知道签名是什么,先来看为什么需要签名 。大家都知道,在消息通信时,必须至少解决两个问题:一是确保消息来源的真实性,二是确保消息不会被第三方篡改。在安装Apk时,同样需要确保Apk来源的真实性,以及Apk没有被第三方篡改。如何解决这两个问题呢?方法就是开发者对Apk进行签名:在Apk中写入一个“指纹”。指纹写入以后,Apk中有任何修改,都会导致这个指纹无效,Android系统在安装Apk进行签名校验时就会不通过,从而保证了安全性。

要了解如何实现签名,需要了解两个基本概念:数字摘要和数字证书。

1.1 数字摘要

数字摘要是将任意长度的消息变成固定长度的短消息,它类似于一个自变量是消息的函数,也就是Hash函数。数字摘要就是采用单向Hash函数将需要加密的明文“摘要”成一串固定长度的密文,这一串密文又称为数字指纹,它有固定的长度,而且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。

简单来说,就是对一个任意长度的数据,通过一个Hash算法计算后,都可以得到一个固定长度的二进制数据,这个数据就称为“摘要”。摘要具有下面的几个特征:

  1. 唯一性

    在不考虑碰撞的情况下,不同的数据的计算出的摘要是不同的。

  2. 固定长度

    不同的Hash算法计算的长度是不一样的,但对同一个算法来说是一样的。比较常用的Hash算法有MD5和SHA1,MD5的长度是128拉,SHA1的长度是160位。

  3. 不可逆性

    即从正向计算的摘要不可能逆向推导出原始数据。

1.2 签名和校验的大体过程

前面已经说到,可以通过签名来确保数据来源的可靠性和数据的不可篡改性。签名就是在摘要的基础上再进行一次加密,对摘要加密后的数据就可以当作数字签名,在安装Apk需要对签名进行验证,验证通过才能继续安装。

这里有两个过程:签名过程 和 校验过程。

这里写图片描述

先来说签名过程:

  1. 计算摘要

    通过Hash算法提取出原始数据的摘要;

  2. 计算签名

    再通过基于密钥(私钥)的非对称加密算法对提取出的摘要进行加密,加密后的数据就是签名信息;

  3. 写入签名

    将签名信息写入原始数据的签名区块内。

再来看校验过程:

  1. 计算摘要

    接收方接收到数据后,首先用同样的Hash算法从接收到的数据中提取出摘要;

  2. 解密签名

    使用发送方的公钥对数字签名进行解密,解密出原始摘要;

  3. 比较摘要

    如果解密后的数据和提取的摘要一致,则校验通过;如果数据被第三方篡改过,解密后的数据和摘要不一致,校验不通过。

1.3 数字证书

这里有一个前提:接收方必须要知道发送方的公钥和所使用的算法。如果数字签名和公钥一起被篡改,接收方无法得知,还是会校验通过。如何保证公钥的可靠性呢?答案是数字证书,数字证书是身份认证机构(Certificate Authority)颁发的,包含了以下信息:

  • 证书颁发机构
  • 证书颁发机构签名
  • 证书绑定的服务器域名
  • 证书版本、有效期
  • 签名使用的加密算法(非对称算法,如RSA)
  • 公钥 等

接收方收到消息后,先向CA验证证书的合法性(根据证书的签名、绑定的域名等信息。CA机构是权威的,可以保证这个过程的可靠性。)再进行签名校验。

关于通过数字证书进行签名校验的详细过程,可以参考我之前写的一篇关于HTTPS通信机制的介绍:详谈HTTPS通信机制,HTTPS是如何进行安全通信的?

需要注意的是,Apk的证书通常的自签名的,也就是由开发者自己制作,没有向CA机构申请。Android在安装Apk时并没有校验证书本身的合法性,只是从证书中提取公钥和加密算法,这也正是对第三方Apk重新签名后,还能够继续在没有安装这个Apk的系统中继续安装的原因。

1.4 签名和校验过程

完整的签名和校验过程如下:(图片来源:维基百科

这里写图片描述

2. keystore和证书格式

我们在对Apk签名时并没有直接指定私钥、公钥和数字证书,而是使用keystore文件,这些信息都包含在了keystore文件中。根据编码不同,keystore文件分为很多种,Android使用的是Java标准keystore格式JKS(Java Key Storage),所以通过Android Studio导出的keystore文件是以.jks结尾的。

keystore使用的证书标准是X.509,X.509标准也有多种编码格式,常用的有两种:pem(Privacy Enhanced Mail)和der(Distinguished Encoding Rules)。jks使用的是der格式,Android也支持直接使用pem格式的证书进行签名,我们下面会介绍。

两种证书编码格式的区别:

  • DER(Distinguished Encoding Rules)

    二进制格式,所有类型的证书和私钥都可以存储为der格式。

  • PEM(Privacy Enhanced Mail)

    base64编码,内容以—–BEGIN xxx—– 开头,以—–END xxx—– 结尾,比如:

-----BEGIN RSA PRIVATE KEY-----
MIIEpAIBAAKCAQEAlmXFRXEZomRKhNRp2XRoXH+2hm17RfrfecQlT49fktoDLkF6r99uiNnuUdPi6UQuXOnzEbe1nZkfuqfB10aBLrDqBUSZ+3
-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----
MIICvTCCAaWgAwIBAgIEcWTElDANBgkqhkiG9w0BAQsFADAPMQ0wCwYDVQQDEwRyPQDLnVKeEIh81OwD3KIrQOUwsxyptOVVea1D8CzIAnGs
-----END CERTIFICATE-----


X.509证书格式:

这里写图片描述

3. jarsigner和apksigner的区别

Android提供了两种对Apk的签名方式,一种是基于JAR的签名方式,另一种是基于Apk的签名方式,它们的主要区别在于使用的签名文件不一样:jarsigner使用keystore文件进行签名;apksigner除了支持使用keystore文件进行签名外,还支持直接指定pem证书文件和私钥进行签名。

android {
    signingConfigs {
        config {
            storeFile file(keystoreProperties['storeFile'])
            storePassword keystoreProperties['storePassword']
            keyAlias keystoreProperties['keyAlias']
            keyPassword keystoreProperties['keyPassword'] 
        }
    }
    ...
  }

不知道大家有没有注意一个问题,我们通过keytool或者AS生成一个keystore的时候(签署您的应用),除了要输入keystore的密码外,还要输入一个alias和key的密码。在签名时,除了要指定keystore文件和密码外,也要指定alias和key的密码,这是为什么呢?

原因是keystore是一个密钥库,也就是说它可以存储多对密钥和证书,keystore的密码是用于保护keystore本身的,一对密钥和证书是通过alias来区分的。从这里可以看出jarsigner是支持使用多个证书对Apk进行签名的。apksigner也同样支持,关于apksigner的使用介绍可以参考官方文档apksigner

3.1 签名相关命令

● jarsigner签名
jarsigner -keystore keystore_file -signedjar signed.apk unsigned.apk alias_name -storepass pwd

● apksigner签名
java -jar signapk.jar cert.x509.pem private.pk8 unsigned.apk signed.apk

● 查看keystore文件
keytool -list  -v -keystore keystore_file -storepass pwd

● 查看apk证书
keytool -printcert -jarfile apk

● 查看DER格式证书(META-INFO/CERT.RSA)
openssl pkcs7 -inform DER -in CERT.RSA -noout -print_certs -text

● 查看PEM格式证书
openssl x509 -in cert.x509.pem -text -noout

● apksigner检查apk是否签名,以及查看证书SHA1值
apksigner verify -v --print-certs

ok,签名的基本概念和校验过程就介绍到这里,关于JAR签名和V2签名机制的详细介绍,参考下面两篇文章:

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwjemperor/article/details/80877203

智能推荐

java实现windows壁纸自动下载与切换_java pc动态切换壁纸怎么实现-程序员宅基地

文章浏览阅读5.2k次,点赞18次,收藏35次。壁纸风波许多有内涵的朋友都喜欢将自己的电脑桌面壁纸设置为美女图片,并且隔一段时间,自动更换,看起来十分炫酷。的确,用过windows的朋友们都知道,windows的个性化设置里面,可以将壁纸设置幻灯片放映,这就解决了壁纸常年不变的尴尬局面,原因在于很多懒猪们拿到自己的电脑以后,往往自己在网上找一张自己觉得好看的壁纸,设置为桌面壁纸以后,就懒得再去管它,这一用就是几个月,乃至上年。很多稍微有..._java pc动态切换壁纸怎么实现

FFmpeg源代码结构图 - 解码_ffmpeg解码 代码 雷肖-程序员宅基地

文章浏览阅读10w+次,点赞142次,收藏410次。近期研究了一下FFmpeg的内部的源代码。之前对于FFmpeg的研究主要在它的应用层面上,因此制作的很多示例程序都是调用的FFmpeg的API。但是一直感觉这样对FFmpeg的理解还是比较浅,所以打算剖析一下它的源代码,理一下它内部结构的“脉络”。但是有一个很难办的问题:FFmpeg自带的三个工程:ffplay, ffmpeg, ffprobe的代码量非常的大,其中包含了成百上千的API;而这些API背后又包含了大量的FFmpeg内部函数。如此一来,几乎是不可能理清他们之间的关系的。_ffmpeg解码 代码 雷肖

dfs问题小结 及基本问题解决_windows dfs 替代所选链接错误-程序员宅基地

文章浏览阅读1.6k次。dfs问题小结 及基本问题解决根据现已做的题目 大多数的dfs题都可以用下面的模板解决dfs( 一系列的变化的量){ if(判断递归的退出条件 可能用多个if来表示多个情况) { //加上一系列的操作 在符合退出条件下 return; } dfs(变化后的新变量) //这里回溯退出,就是在dfs退出之后的执行的操作}第一题pat 1103 利用dfs..._windows dfs 替代所选链接错误

UE4 C++ 读写游戏数据,限制使用次数,限制使用时间,按键输入检测,删除文件_ue加使用时间限制-程序员宅基地

文章浏览阅读847次。新建空场景设置为默认的GameMode新建三个C++类继承:SaveGame命名:SaveGame_Main继承:UserWidget命名:UserWidget_OpenCount新建蓝图Widget,继承UserWidget,添加"Text"组件继承:Actor命名:Actor_GameController拖进两个场景中,设置参数SaveGame_Main.h// Fill out your copyright notice in the Description_ue加使用时间限制

Python 中的正则表达式_正则表达式匹配包含字符串rpa的-程序员宅基地

文章浏览阅读209次。**正则表法式**(Regular Expression):使用正确的规则表示或者描述字符串数据。正则表达式目的是**针对字符串数据的查询匹配和检索替换**。正则表达式本身是一种 小型的,高度专业化 的编程语言,而在 python 中,通过内嵌集成 re模块,我们可以直接调用来实现正则匹配。正则表达式模式被编译成一系列的字节码,然后由用 c编写的匹配引擎来执行!_正则表达式匹配包含字符串rpa的

VScode sync gist id 丢失 找回办法 总结-程序员宅基地

文章浏览阅读2.1k次,点赞3次,收藏6次。VScode sync gist id 丢失 找回办法学习 sync同步 都会看到 一定要记住 gist id 和 GitHub tokengist id 和 GitHub token 是多对一的关系一个GitHub token 可以生成多个 gist id1、那么当手贱,忘记或删除本地 gist id,还是可以在 GitHub ->个人头像->your gists 中 ->ALL gists 找到你的所有gist id具体gist id查看 方法:来源:vsc_gist id

随便推点

HTTPS加密-程序员宅基地

文章浏览阅读73次。HTTPS的加密方式  HTTPS的加密方式采用共享秘钥和公开秘钥混合的混合加密方式。  共享秘钥要求双方使用同一个秘钥,在网络上直接传输共享秘钥,如果被窃听到了,那么加密的内容就会被其他人解密。使用公开秘钥的方式虽然能实现安全传输,但是因为公开秘钥加密比较复杂,传输较慢。所以结合两种加密方式的优缺点,HTTPS使用公开秘钥对共享秘钥加密传输,双方约定好共享秘钥后再用共享秘钥加密通信内容。公开密钥的安全性证书  公开秘钥在传输时,有被替换的风险,为了保证接收方收到的公开秘钥的真实性会由数字证书

leetcode 687. 最长同值路径(python)_二叉树找最长同值路径python-程序员宅基地

文章浏览阅读1.2k次。给定一个二叉树,找到最长的路径,这个路径中的每个节点具有相同值。 这条路径可以经过也可以不经过根节点。注意:两个节点之间的路径长度由它们之间的边数表示。示例 1:输入: 5 / \ 4 5 / \ \ 1 1 5输出:2示例 2:..._二叉树找最长同值路径python

CSMA/CD载波侦听多路访问/冲突检测-程序员宅基地

文章浏览阅读8.5k次,点赞11次,收藏14次。Carrier Sense Multiple Access/collision detection_载波侦听多路访问/冲突检测

python wget 卡住_python – Paramiko在执行大型wget命令时挂起-程序员宅基地

文章浏览阅读981次。嗨,我在执行一个通过Ubuntu 10服务器执行100mb文件的wget的命令时遇到问题.除此之外,较短的命令工作正常.下面的类包含我如何使用paramiko和我克服这个问题的不同尝试(请参阅不同的run或exec方法).在exec_cmd的情况下,执行挂起在这一行:out = self.in_buffer.read(nbytes, self.timeout)来自paramiko的channel...._python wget 超时

基于 Vue 2.0 开发的 UI 组件库 fish-ui_fish公益ui脚本-程序员宅基地

文章浏览阅读601次。fish-ui 详细介绍fish-ui 是基于vue2开发的一套ui组件库,其中css部分借鉴了semantic-ui的样式demo: https://myliang.github.io/fish-ui/github: https://github.com/myliang/fish-ui安装npm install less less-loader -Snpm insta..._fish公益ui脚本

Android-WebView加载显示空白页面解决方法_android 6.0 webview 无法显示-程序员宅基地

文章浏览阅读1.9k次。#方法1webView.getSettings().setJavaScriptEnabled(true);webView.getSettings().setDomStorageEnabled(true);#方法2证书无效,WebViewClient下的onReceivedSslError显示AlertDialog让用户选择是否继续,上架Google Play必须用AlertDialog..._android 6.0 webview 无法显示

推荐文章

热门文章

相关标签