一. 代码签名
代码签名
是对可执行文件或脚本进行数字签名
.用来确认软件在签名后未被修改或损坏
的措施。和数字签名原理一样,只不过签名的数据是代码而已.
代码签名目的:防止可执行文件或脚本
被篡改,即防止盗版应用
简单的代码签名
- 在iOS出来之前,以前的主流操作系统(Mac/Windows)软件随便从哪里下载都能运行,系统安全存在隐患,盗版软件,病毒入侵,静默安装等等.那么苹果希望解决这样的问题,要保证每一个安装到 iOS 上的 APP 都是经过苹果官方允许的,怎样保证呢?就是通过
代码签名
。 - 如果要实现验证.其实最简单的方式就是通过苹果官方生成非对称加密的一对公私钥.在iOS的系统中内置一个公钥,私钥由苹果后台保存,我们传APP到AppStore时,苹果后台用私钥对APP数据进行签名,iOS系统下载这个APP后,用公钥验证这个签名,若签名正确,这个APP肯定是由苹果后台认证的,并且没有被修改过,也就达到了苹果的需求:保证安装的每一个APP都是经过苹果官方允许的.
- 如果我们iOS设备安装APP只从App Store这一个入口这件事就简单解决了,没有任何复杂的东西,一个数字签名搞定.
- 但是实际上
iOS安装APP
还有其他渠道
.比如对于我们开发者iOSer而言,我们是需要在开发APP时直接真机调试的.而且苹果还开放了企业内部分发的渠道,企业证书签名的APP也是需要顺利安装的. - 苹果需要开放这些方式安装APP,这些需求就无法通过简单的代码签名来办到了。
苹果的需求
那么我们来分析一下,它有些什么需求:
- 安装包不需要上传到App Store,可以直接安装到手机上.
- 苹果为了保证系统的安全性,又必须对安装的APP有绝对的控制权
经过苹果允许才可以安装
不能被滥用导致非开发APP也能被安装 - 为了实现这些需求,iOS签名的复杂度也就开始增加了,苹果这里给出的方案是
双层签名
.
双层代码签名
为了实现苹果验证应用的一些需求,iOS签名的复杂度也就开始增加了,苹果给出的方案是双层签名
.
- iOS的双层代码签名流程这里简单梳理一下,这也不是最终的iOS签名原理.iOS的最终签名在这个基础上还要稍微加点东西.
- 首先这里有两个角色.一个是
iOS系统
还有一个就是我们的Mac系统
.因为iOS的APP开发环境在Mac系统下.所以这个依赖关系
成为了苹果双层签名的基础.
- 在Mac系统中生成非对称加密算法的
一对公钥\私钥
(你的Xcode帮你代办了).这里称为公钥M 私钥M
. M = Mac - 苹果自己有固定的一对公私钥,跟之前App Store原理一样,
私钥在苹果后台
,公钥在每个iOS系统中
.这里称为公钥A , 私钥A
. A=Apple - 把公钥M 以及一些你开发者的信息,传到苹果后台(这个就是
CSR文件
),用苹果后台里的私钥 A 去签名公钥M。得到一份数据包含了公钥M 以及其签名,把这份数据称为证书
。 - 在开发时,编译完一个 APP 后,用本地的私钥 M(今后你导出的
P12
) 对这个 APP 进行签名,同时把第三步得到的证书一起打包进 APP 里
,安装到手机上。 - 在安装时,iOS 系统取得证书,通过系统内置的
公钥 A
,去验证证书的数字签名是否正确。 - 验证证书后确保了钥 M 是苹果认证过的,再用
公钥 M
去验证 APP 的签名,这里就间接验证了这个 APP 安装行为是否经过苹果官方允许。(这里只验证安装行为,不验证APP 是否被改动,因为开发阶段 APP 内容总是不断变化的,苹果不需要管。)
- 有了上面的过程,
已经可以保证开发者的认证,和程序的安全性了
。 但是,你要知道iOS的程序,主要渠道是要通过APP Store才能分发到用户设备的,如果只有上述的过程,那岂不是只要申请了一个证书,就可以安装到所有iOS设备了?
二. 苹果双向签名验证步骤
- 前提:
- xcode会在keychain生成一对
公钥M、私钥M
,保存在mac电脑中 - 还有一对
公钥A(iPhone)
、私钥A(苹果服务端)
- 通过mac中的
公钥M(核心)+证书颁发机构信息
,生成一个CSR文件
,传递给苹果服务器
- 苹果服务器通过
私钥A加密公钥M
,生成一个证书,其中包含公钥M+Hash值
,并对公钥M的Hash值作数字签名
苹果服务器就相当于CA机构
,证书就是CRT文件
问题:编译App需要安装到手机,iPhone如何验证呢?
- 通过mac中的
私钥M
,对App中的Mach-O
进行签名,生成一个App的签名
,同时将证书打包进去,形成一个ipa包
- 通过mac中的
私钥M
,对App中的Mach-O
进行签名
- 生成一个App签名
- 将Mach-O文件、App签名、证书等信息一起打包,形成一个ipa包
证书 可以由 iPhone中的公钥A解密
,私钥M 就是 p12证书
,证书回来后,就会与私钥M进行绑定
- 通过iPhone的
公钥A解密证书
,证书解密后得到公钥M,公钥M 可以验证 App的签名
,验证通过,说明安装行为是被允许的合法的
上述过程是有问题的:因为只要申请证书,任何设备都可以安装。所有就有了描述文件
描述文件
描述文件(Provisioning profile)一般包括三样东西:证书
、App ID
、设备
。当我们在真机运行或者打包一个项目的时候,证书用来证明我们程序的安全性和合法性。
苹果为了解决应用滥用的问题,又加了两个限制.
- 第一个限制 在苹果后台注册过的设备才可以安装.
- 第二个限制 签名只能针对某一个具体的APP.
并且苹果还想控制App里面iCloud/PUSH/后台运行/调试器
附加这些权限,所以苹果把这些权限开关统一称为Entitlements(授权文件
).并将这个文件放在了一个叫做Provisioning Profile(描述文件
)文件中.
- 描述文件是在AppleDevelop网站创建的(在Xcode中填上AppleID它会代办创建),Xcode运行时会打包进入APP内.所以我们使用CSR申请证书时,我们还要申请一个东西!! 就是
描述文件
! - 在开发时,编译完一个 APP 后,用本地的
私钥M对这个APP进行签名
,同时把从苹果服务器得到的 Provisioning Profile 文件打包进APP里,文件名为embedded.mobileprovision,把 APP 安装到手机上.最后系统进行验证。
终端命令查看:通过命令查看描述文件(.app包的目录下):security cms -D -i embedded.mobileprovision
总结
证书: 公钥M/私钥M
发出去,由官方的机构对其进行签名后组成的数据包
证书生成流程:
- 通过本地的公钥M/私钥M,申请证书 -- CSR文件
- 服务器将公钥M进行一次RSA加密,得到CRT证书,
- 将CRT证书下载到本地,与私钥M(p12)进行绑定
p12 就是本地私钥M
描述文件:包含证书、权限文件(Entitlements - 权限开关)、UUID等信息+权限。不能修改
苹果双向签名验证流程如下图
双向签名验证流程- 在Mac中通过公钥M+证书颁发机构信息生成CSR文件
- 将CSR文件传递到苹果服务器,申请CRT证书
- 苹果服务器通过私钥A加密公钥M,生成CRT证书,并对公钥M的hash值进行数字签名(即通过RSA加密)。同时苹果还提供了描述文件
- 通过私钥M对Mach-O进行签名,生成一个App的签名,同时将描述文件、CRT证书等打包,形成一个ipa包
- App安装到iOS设备
- 从iPhone手机中获取公钥A,通过公钥A解密CRT证书,得到公钥M
- 然后通过公钥M验证App的签名,App签名是通过私钥M进行签名的,如果验证通过,则说明安装是合法的
苹果的双重验证主要是指以下两次签名验证:
- iOS系统中通过内置的公钥A验证CRT证书
- 通过CRT证书取出的公钥M验证App的签名
网友评论