1,什么是签名
1.1 签名方案
apk发布者需要使用android 密钥生成工具创建的keystore对APK进行签名,此时会在APK根目录中生成META-INF文件,其中包括了MANIFEST.MF,CERT.SF,CERT.RSA三个文件。
1.MANIFEST.MF
遍历apk包中所有文件,对非文件夹、非签名文件的文件,逐个生成SHA1数字签名信息,再用Base64进行编码。之后生成的签名写入MANIFEST.MF文件。
2.CERT.SF
对生成的MANIFEST.MF签名信息,使用SHA1-RSA算法,用私钥进行签名。
3.CERT.RSA
在CERT.RSA文件中保存公钥、所采用的加密算法等信息。
目前有三种签名方案。
v1 方案:基于 JAR 签名。
v2 方案:APK 签名方案 v2,在 Android 7.0 引入。
v3 方案:APK 签名方案 v3,在 Android 9.0 引入。
Android 的签名方案,无论怎么升级,都是要确保向下兼容。
在引入 v3 方案后,Android 9.0 及更高版本中,可以根据 APK 签名方案,v3 -> v2 -> v1 依次尝试验证 APK。而较旧的平台会忽略 v3 签名并尝试 v2 签名,最后才去验证 v1 签名。
1.2 RSA加密介绍
非对称加密之所以不对称,指的就是加解密会用公钥和私钥分别进行。
“非对称加密”用于信息传输的时候,用公钥加密,用私钥解密。由于只有拥有者知道私钥,因此信息用公钥加密后,除了拥有者,任何人都不能解密。由于只有拥有者知道私钥,因此信息用公钥加密后,除了拥有者,任何人都不能解密。
“非对称密钥”用于数字签名时是反过来,用私钥(keystore)加密,用公钥解密。只不过加密的不是信息原文,而是信息的哈希值。加密结果就叫数字签名。
2,签名
只有拿到了平台的pk8/x509.pem文件通过如下签名命令:
java -jar signapk.jar platform.x509.pem platform.pk8 old.apk [new].apk
signapk.jar:由/platform/build/tools/signapk/编译产出,可以在/out/host/linux-x86/framework/中找到
pem和pk8所在位置:
./build/make/target/product/security/platform.x509.pem
./build/make/target/product/security/platform.pk8
签名后可以获得与android.uid.system相同的权限,才能调用系统api。我们也可以将pk8/x509.pem导入到keystore,然后我们编译代码的时候使用keystore进行签名就可以获得与android.uid.system相同权限的apk,不需要再次进行系统签名。
2.1 生成自定义keystore
1,通过IDE生成
2,通过JDK生成
keytool -genkey -alias android.keystore -keyalg RSA -validity 20000 -keystore android.keystore
(-validity 20000代表有效期天数),命令完成后,bin目录中会生成android.keystore
查看命令keytool -list -keystore "android.keystore" 输入你设置的keystore密码
2.2生成平台系统应用的keystore
有两种方法:
一
1 在github上下载工具
https://github.com/getfatday/keytool-importkeypair
2 将工具在Linux环境下解压或者解压后Copy到Linux下,运行如下命令
./keytool-importkeypair -k debug.keystore -p android -pk8 platform.pk8 -cert platform.x509.pem -alias platform
其中 -k:表示要生成的Eclipse下的签名的keystore的名字,包括路径名,这里存到主目录的android目录下,名字为debug.keystore。你可以随便取名
-p 表示新生成的keystore的密码是什么,这里为android
-pk8 表示要导入的pk8文件的名称,可以包括路径,这里是主目录的Android目录下,我们的pk8文件和pem文件都在这个目录下
-cert 表示要导入的证书文件,和pk8文件在同一个目录
-alias 表示给生成的debug.keystore取一个别名,这个名字只有我们在签名的时候才用的到,生成在文件名是debug.keystore。这个名字,随便取
二
1 把pk8转换成pk12格式
openssl pkcs8 -in shared.pk8 -inform DER -outform PEM -out shared.priv.pem -nocrypt
2 生成pk12的密钥问文件
openssl pkcs12 -export -in shared.x509.pem -inkey shared.priv.pem -out shared.pk12 -name androiddebugkey
3 生成keystore
keytool -importkeystore -deststorepass android -destkeypass android -destkeystore debug.keystore -srckeystore shared.pk12 -srcstoretype PKCS12 -srcstorepass android -alias androiddebugkey
网友评论