`

Android数字签名

 
阅读更多

Android 系统中,所有安装 到 系统的应用程序都必有一个数字证书,此数字证书用于标识应用程序的作者和在应用程序之间建立信任关系,如果一个 permission的protectionLevel为signature,那么就只有那些跟该permission所在的程序拥有同一个数字证书的应 用程序才能取得该权限。Android使用Java的数字证书相关的机制 来 给apk加盖数字证书,要理解android的数字证书,需要先了解以下数字证书的概念和java的数字证书机制。Android系统要求每一个安装进系 统的应用程序都是经过数字证书签名的,数字证书的私钥则保存在程序开发者的手中。Android将数字证书用来标识应用程序的作者和在应用程序之间建立信 任关系,不是用来决定最终用户可以安装哪些应用程序。这个数字证书并不需要权威的数字证书签名机构认证,它只是用来让应用程序包自我认证的。(文/feisky

一:同一个开发者的多个程序尽可能使用同一个数字证书 ,这可以带来以下好处。

(1)有利于程序升级,当新版程序和旧版程序的数字证书相同时,Android系统才会认为这两个程序是同一个程序的不同版本。如果新版程序和旧版程序的数字证书不相同,则Android系统认为他们是不同的程序,并产生冲突,会要求新程序更改包名。

(2)有利于程序的模块化设计和开发。Android系统允许拥有同一个数字签名的程序运行在一个进程中,Android程序会将他们视为同一个程序。所以开发者可以将自己的程序分模块开发,而用户只需要在需要的时候下载适当的模块。

(3) 可以通过权限(permission)的方式在多个程序间共享数据和代码。Android提供了基于数字证书的权限赋予机制,应用程序可以和其他的程序共 享概功能或者数据给那那些与自己拥有相同数字证书的程序。如果某个权限(permission)的protectionLevel是signature, 则这个权限就只能授予那些跟该权限所在的包拥有同一个数字证书的程序。

在签名时,需要考虑数字证书的有效期

(1)数字证书的有效期要包含程序的预计生命周期,一旦数字证书失效,持有改数字证书的程序将不能正常升级。

(2)如果多个程序使用同一个数字证书,则该数字证书的有效期要包含所有程序的预计生命周期。

(3)Android Market强制要求所有应用程序数字证书的有效期要持续到2033年10月22日以后。

二:Android数字证书包含以下几个要点:

              (1)所有的应用程序都必须有数字证书 ,Android系统不会安装一个没有数字证书的应用程序

              (2)Android程序包使用的数字证书可以是自签名的,不需要一个权威的数字证书机构签名认证

              (3)如果要正式发布 一个Android ,必须使用一个合适的私钥生成的数字证书来给程序签名 ,而不能使用adt插件 或者ant工具 生成的调试证书来发布。

              (4)数字证书都是有有效期 的,Android只是在应用程序安装的时候才会检查证书的有效期。如果程序已经安装在系统中,即使证书过期也不会影响程序的正常功能。

              (5)Android使用标准的java工具 Keytool and Jarsigner 来生成数字证书,并给应用程序包签名。

              (6)使用zipalign 优化 程序。

Android 系统不会安装运行任何一款未经数字签名的apk程序,无论是在模拟器上还是在实际的物理设备上。Android的开发工具(ADT插件和Ant)都可以协 助开发者给apk程序签名,它们都有两种模式:调试模式(debug mode)和发布模式(release mode)。

在调试模式下,android的开发工具会在每次编译时使用调试用的数字证书给程序签名,开发者无须关心。

当要发布程序时,开发者就需要使用自己的数字证书给apk包签名,可以有两种方法。

(1)在命令行下使用JDK中的和Keytool(用于生成数字证书)和Jarsigner(用于使用数字证书签名)来给apk包签名。

(2)使用ADT Export Wizard进行签名(如果没有数字证书可能需要生成数字证书)。

 

三;两种签名方式

 

第一种签名方式, 使用Keytool和Jarsigner给程序签名( 用于1.5以下版本


命令:keytool -genkey -v -keystore android.keystore -alias android -keyalg RSA -validity 20000

该 命令中,-keystore ophone.keystore 表示生成的证书,可以加上路径(默认在用户主目录下);-alias ophone 表示证书的别名是ophone;-keyalg RSA 表示采用的RSA算法;-validity 20000表示证书的有效期是20000天。



此时,我们会在互用主目录下看到ophone.keystore,即我们刚刚创建的证书。

 

 

 

 

 

第二种签名方式:现在介绍android 1.5及更新版本的apk签名方式

 

 

1,打开Eclipse->选择你要签名的项目->右击->android tools->Export signed Application package...


2,跳出窗口

 


 

3,project checks 如果核对项目名没有问题的话 点击 Next
然后跳出keystore selection 如果是已经存在keystore的文件就选择然后next 输入keystore的密码进行签名。
如果没有的话选择 create new keystore 然后选择 keystore 保存的位置,设置keystore的密码,点击Next。

 


4.填写keystore的基本信息,如,别名,密码,有效期,姓名,组织,组织名称,所在城市,所在省份,国家等,点击Next


5.选择被签名后的APK保存位置。点击finish。

 


6.就可以在你保存的位置中找到相应的被签名后的APK文件。


 

 

以上的签名只有在ANDROID1.5以及以后的版本适用。谢谢。
希望对大家有帮助,谢谢。

 

 

分享到:
评论

相关推荐

    一种Android数字签名验证机制漏洞探析.pdf

    总之,针对Android数字签名验证机制的漏洞,开发者和安全专家需要更加深入地理解该机制的工作原理和漏洞所在,同时持续更新安全策略和技术措施,以保护Android系统应用的安全性和用户的数据隐私。对于安全研究人员和...

    Android数字签名学习笔记.pdf

    Android数字签名学习笔记.pdf

    基于Android数字签名系统设计与实现.docx

    基于Android数字签名系统设计与实现.docx

    android数字签名环境

    使用方法:在androidManifest....android:sharedUid="android.uid.system" 然后整个项目打成apk包,和该sign文件夹放在一起,然后运行一条jar命令,文件里图片里有,就可以生成新的APK,那么新的包拿来就可以使用了。

    Android数字签名keystore学习[参照].pdf

    在Android系统中,数字签名是确保应用程序安全性和可信任性的重要机制。每个Android应用都需要一个数字证书来标识其开发者,并且对于具有特定权限的permission,只有拥有相同证书的应用才能获得这些权限。Android...

    Android应用程序数字签名流程参考资料

    在Android应用开发中,数字签名是一个至关重要的环节,特别是在应用程序发布之前。数字签名的主要目的是确保应用的完整性和开发者身份的验证,防止应用被篡改,并允许用户信任并安装该应用。下面将详细介绍Android...

    mac android app 签名工具

    在Android系统中,每个安装包(APK)都需要一个数字签名,这个签名用来验证应用的来源并确保其在安装和更新过程中未被篡改。Android系统会检查APK的签名,只有签名验证通过的应用才能被安装。签名过程通常包括创建一...

    Android电子签名pdf加载 签名可拖拽

    在Android上,可以使用`javax.crypto`包中的加密类来生成签名的哈希值,这通常与用户的私钥结合,形成数字签名。同时,用户绘制的签名图形可以通过`Canvas`和`Path`类捕获,转换为位图(Bitmap)并合并到PDF页面上。...

    Windows版本 Android Apk签名工具

    Android系统要求每个发布到市场的APK文件都必须有一个数字证书签名。这个签名用于验证应用程序的开发者身份,确保应用在安装和更新过程中不被篡改。同时,签名也用于权限管理,只有拥有相同签名的应用才能进行权限...

    Android签名机制介绍

    3. 数字签名 二、Android签名机制--APK签名过程 1. APK签名概述 2. APK签名相关的文件 3. 签名的过程(MANIFEST.MF) 4. 签名的过程(CERT.SF) 5. 签名的过程(CERT.RSA) 6. 签名结束 三、Android签名机制--APK...

    android 系统签名工具

    每个APK文件在打包后都会包含一个数字签名,这个签名验证了应用的代码和资源没有被修改过。当用户尝试安装应用时,Android系统会检查签名,只有签名有效且与开发者信息匹配的应用才能成功安装。 二、签名的重要性 ...

    Android 手写签名 电子签名

    电子签名是一种通过数字方式表示的签名形式,它能够提供与传统手写签名同等的法律效力。在技术层面上,电子签名通常涉及到加密算法、身份验证和时间戳等要素,确保签名的安全性和不可抵赖性。 对于Android手写签名...

    android 重新签名工具

    Android应用在发布前必须经过数字签名,以验证应用的来源并确保其在安装和运行时未被篡改。签名过程涉及到以下几个关键概念: 1. **密钥对**:签名时使用的是一对密钥,包括一个私钥和一个公钥。私钥由开发者保管,...

    Android 系统签名文件

    当用户尝试安装一个应用时,Android系统会检查其数字签名,如果签名有效且与系统的签名策略匹配,安装才会继续。如果签名无效或不匹配,系统会阻止安装,防止潜在的恶意软件侵入。 此外,Android系统还支持多签名,...

    Android签名 签名格式转换 工具

    2. **SHA-1**:这是一种更安全的哈希算法,生成160位的哈希值,广泛应用于数字签名和证书。 3. **SHA-256**:随着对安全性的需求提升,SHA-256逐渐成为更常用的签名算法,提供更强的安全性,生成256位的哈希值。 在...

    android10 apk签名文件

    签名是对APK进行数字签名的过程,目的是确保APK未被篡改,并且能证明应用的来源。 1.2 作用: - 验证完整性:通过对比签名信息和APK内容,检查文件是否在传输或存储过程中被修改。 - 身份认证:签名证书能识别...

    Android 自签名程序

    在Android系统中,每个安装到设备的应用都需要被一个数字证书签名,这个证书用于验证应用的身份。签名过程确保了应用在安装和更新时未经篡改,同时也能让系统知道谁是应用的开发者,有助于建立用户的信任。 其次,...

Global site tag (gtag.js) - Google Analytics