让.保罗.萨特曾说过:现实的精华就是匮乏,一种普遍而永恒的欠缺。人生重要的不是填补一种不完美,而是找到自己的位置。
iOS签名机制
iOS 平台对第三方 APP 有绝对的控制权,一定要保证每一个安装到 iOS 上的 APP 都是经过苹果官方允许的,所使用的就是苹果的签名机制。苹果签名使用的是非对称加密技术,非对称加密有两份密钥,分别是公钥和私钥,用公钥加密的数据,要用私钥才能解密,用私钥加密的数据,要用公钥才能解密。比较常见的非对称加密算法就是RSA。
RSA的基本实现原理如下:
第一步,随机选择两个不相等的质数p和q
第二步,计算p和q的乘积n
第三步,计算n的欧拉函数φ(n)
φ(n) = (p-1)(q-1)
第四步,随机选择一个整数e,条件是1< e < φ(n),且e与φ(n) 互质。
第五步,计算e对于φ(n)的模反元素d(就是指有一个整数d,可以使得ed被φ(n)除的余数为1)
ed ≡ 1 (mod φ(n)) == ed - 1 = kφ(n)
于是,找到模反元素d。(用"扩展欧几里得算法"求解)
第六步,将n和e封装成公钥,n和d封装成私钥
私钥被破解,需要大整数的因数分解,是一件非常困难的事情。目前,除了暴力破解,还没有发现别的有效方法。对极大整数做因数分解的难度决定了RSA算法的可靠性。
App的安装方式有四种:
1. 通过App Store安装
由苹果生成一对公私钥,公钥内置iOS设备中,私钥由苹果保管。开发者上传App给苹果审核后,苹果用私钥对App数据进行签名,使用的是发布证书,发布至App Store。iOS设备下载App后,用公钥进行验证,若正确,则证明App是由苹果认证过的。
2. 开发者可以通过Xcode安装
苹果采用了双重签名的机制。Mac电脑有一对公私钥,苹果还是原来的一对公私钥。
开发时需要真机测试时,需要从钥匙串中的证书中心创建证书请求文件(CSR CertificateSigningRequest.certSigningRequest 用于绑定电脑,文件中有Mac电脑的公钥),并传至苹果服务器。
Apple使用私钥对 CSR 签名,生成一份包含Mac公钥信息及Apple对它的签名,被称为证书(CER:即开发证书,发布证书),这里使用的是开发证书。
编译完一个App后,Mac电脑使用私钥对App进行签名。
在安装App时,根据当前配置把CER证书一起打包进App。
iOS设备通过内置的Apple的公钥验证CER是否正确,证书验证确保Mac公钥时经过苹果认证的。
再使用CER文件中Mac的公钥去验证App的签名是否正确,确保安装行为是经过苹果允许的。在苹果注册过的设备才可以安装;签名只针对某一个App。打包证书进App中时,还需要加上允许安装的设备ID和App对应的APPID等数据(Profile文件)。
苹果还要控制iCloud/push/后台运行等,这些都需要苹果授权签名,苹果把这些权限开关统称为:Entitlements,需要苹果授权。因此证书中可能包含很多东西,不符合规定的格式规范,所以有了Provisioning Profile(描述文件),描述中包含了证书以及其他所有的信息及信息的签名。
苹果只是确定这里的安装行为是否合法,不会验证App内容是否修改。根据数字签名的原理,只要数字签名通过验证,这里的设备 IDs / AppID / Mac公钥 就都是经过苹果认证的,无法被修改,苹果就可以限制可安装的设备和App。
3. Ad-Hoc 测试证书打包的App,数量限制100
Ad-Hoc可以用发布证书打测试包,流程几乎和上面的真机调试一样,唯一的差别在第4步。编译签名完之后,要导出ipa文件,导出时,需要选择一个保存的方法(App Store/Ad Hoc/Enterprise/Development),就是选择将上一步生成的CER一起打包进App。
4. In-House 企业版证书打包App,信任企业证书后可以使用
企业版证书签名验证流程和Ad-Hoc差不多,需要用企业版证书签名。只是企业版不限制设备数,而且需要用户在iOS设备上的设置里手动点击信任证书。
最终流程如下:
其他人想要编译签名App时应怎么做? 简单就是把私钥给他。私钥也是从 钥匙串 中导出,就是.p12文件,其他Mac导入私钥后就可以正常使用了。
查看ipa包中注册的设备ID,解压.ipa文件,得到App数据包,显示包内容,找到embedded.mobileprovision文件所在目录,运行命令:
security cms -D -i embedded.mobileprovision
重签
从上面的原理,我们知道,如果想看别人的App,需要他们的.P12文件,如果拿不到别人的.P12文件,咋整呢。那就只能自己整了。
第一种方式:
从PP助手等破解平台下载ipa包,这里能找到的包,几乎都是已经重签过的,可以随心所用。
第二种方式:
稍显复杂,根据上面描述,找到自己打的ipa包的embedded.mobileprovision文件。然后安装sigh脚本
sudo gem install sigh
报错使用下面命令
sudo gem install -n /usr/local/bin sigh
如此,便可使用sigh重签名了。
1、在终端输入sigh resign,回车
2、把要签名的ipa文件(路径、包名不要有中文)拖到终端窗口上,回车
3、填写用来签名的证书(第一步中的证书)名如图(钥匙串中的完整名字),回车
4、把项目的配置文件.mobileprovision文件(第二步中的文件)拖到终端窗口上,回车
5、resign脚本会自动更改bundel id,签名并重新打包。
完成后提示Successfully signed,新生成的包会自动替换原有文件。
网友评论