深入了解 Android 中的应用程序签名

深入了解 Android 中的应用程序签名

  • 一、应用程序签名介绍
    • 1.1 应用程序签名
    • 1.2 应用程序签名的意义
    • 1.3 应用程序签名的流程
    • 1.4 应用程序签名的方案
    • 1.5 签名的重要性和应用场景
  • 二、AOSP 的应用签名
    • 2.1 AOSP的应用签名文件路径
    • 2.2 应用程序指定签名文件
  • 三、Android Studio 的应用签名
    • 3.1 Android Studio 签名步骤
    • 3.2 Android Studio 选择签名方案
    • 3.3 应用重新签名
  • 四、签名文件及其工具
    • 4.1 签名文件
    • 4.2 工具 apksigner
    • 4.3 工具 keytool
    • 4.4 签名证书格式转换
  • 五、总结

在 Android 应用程序的发布过程中,APK 的签名是一项至关重要的任务。签名确保应用程序的完整性、真实性和安全性。在 AOSP 中,开发者可以使用强大的 apksigner 工具进行 APK 签名。签名 APK 是一个重要的过程,用于验证 APK 的完整性和真实性。在进行签名之前,确保你已经熟悉签名流程,并且对密钥库的管理和安全性有所了解。

一、应用程序签名介绍

1.1 应用程序签名

应用程序签名是将数字签名应用于 Android 应用程序(APK 文件)的过程。它使用密钥对对应用程序进行加密,确保在应用程序发布和分发过程中的完整性和真实性。

1.2 应用程序签名的意义

  • 验证完整性:签名可确保 APK 文件在传输或分发过程中没有被篡改或损坏。
  • 验证真实性:签名允许用户验证应用程序的来源和开发者身份,以确保 APK 来自可信的来源。
  • 安全性:签名可以防止恶意用户在未经授权的情况下更改应用程序的代码或资源。

1.3 应用程序签名的流程

(1)生成密钥库:首先,开发者需要使用 keytool 工具生成一个密钥库(JKS 文件),其中包含用于签名的密钥对。
(2)配置构建脚本:开发者需要在构建脚本(如 build.gradle)中配置签名相关的信息,包括密钥库的路径、别名和密码等。
(3) 使用 apksigner 工具进行签名:在构建过程的最后阶段,使用 apksigner 工具对 APK 进行签名,并输出签名后的 APK 文件。

在这里插入图片描述

1.4 应用程序签名的方案

(1)APK 签名方案 V1(JAR 签名)

传统的 APK 签名方案,兼容所有 Android 版本。使用 JAR 签名对 APK 进行签名。

(2)APK 签名方案 V2

引入了增强的签名机制和对 APK 内容的完整性校验。适用于 Android 7.0。

(3)APK 签名方案 V3

引入了进一步增强的签名机制和对 APK 内容的完整性校验。适用于 Android 9.0 及更高版本。

应用签名:https://source.android.com/docs/security/features/apksigning?hl=zh-cn

1.5 签名的重要性和应用场景

(1) 系统应用签名:在 AOSP 中,系统应用必须进行签名,以确保系统的完整性和安全性。
(2) Google Play Store 发布要求:如果你计划将应用程序上传到 Google Play Store,它必须使用符合要求的签名方案进行签名。
(3) 应用程序验证和更新:签名允许设备验证应用程序的完整性,并支持应用程序的安全更新。

二、AOSP 的应用签名

2.1 AOSP的应用签名文件路径

AOSP的应用签名文件位于 /build/target/product/security 目录下。该目录下包含四个签名文件:

  • testkey.x509.pem:用于签名测试应用程序的签名文件。
  • platform.x509.pem:用于签名系统应用程序的签名文件。
  • shared.x509.pem:用于签名需要与 home/contacts 进程共享数据的应用程序的签名文件。
  • media.x509.pem:用于签名 media/download 系统中的应用程序的签名文件。
    在这里插入图片描述

默认情况下,AOSP 使用 testkey.x509.pem 签名所有应用程序。如果要为应用程序使用其他签名文件,可以将签名文件复制到 /build/target/product/security 目录下,并在应用程序的 Android.mk 文件中指定签名文件的名称。

2.2 应用程序指定签名文件

AOSP 使用 Android.mk 配置文件编译代码,LOCAL_CERTIFICATE 属性用于为应用程序指定签名文件

LOCAL_CERTIFICATE := testkey

如果您要为应用程序使用自定义签名文件,可以使用 LOCAL_CERTIFICATE_FILE 变量指定签名文件的路径。

LOCAL_CERTIFICATE_FILE := $(LOCAL_PATH)/my_key.pem

请注意,AOSP 中的签名文件都是 .pem 格式的 X.509 证书文件。

三、Android Studio 的应用签名

3.1 Android Studio 签名步骤

  1. 在工具栏中,单击 Build > Generate Signed APK
  2. Key Store Path 字段中,指定密钥库文件的路径。
  3. Key Store Password 字段中,输入密钥库的密码。
  4. Key Alias 字段中,输入密钥的别名。
  5. Key Password 字段中,输入密钥的密码。
  6. 单击 Generate

Android Studio 将生成一个新的 APK 文件,该文件将使用指定的密钥进行签名的。

也可以直接在app目录下的build.gradle文件中的android{}下配置签名,参考如下:

signingConfigs {release {storeFile file(rootProject.storeFile)storePassword rootProject.storePasswordkeyAlias rootProject.keyAliaskeyPassword rootProject.keyPassword}
}buildTypes {release {signingConfig signingConfigs.releaseminifyEnabled trueproguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'}
}

3.2 Android Studio 选择签名方案

旧版本的 Android Studio 可以选择 V1 或 V2 签名方案,新版本的Android Studio(Android Studio Hedgehog | 2023.1.1)没有此选项了,默认是只有 V2 签名。

server@dev-fj-srv:~$ apksigner verify -verbose demo-release.apk 
Verifies
Verified using v1 scheme (JAR signing): false
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): false
Verified using v4 scheme (APK Signature Scheme v4): false
Verified for SourceStamp: false
Number of signers: 1

如果需要使用V2方案签名,可以修改signingConfigs配置,添加enableV1SigningenableV2SigningenableV3SigningenableV4Signing,参考如下:

signingConfigs {release {storeFile file(rootProject.storeFile)storePassword rootProject.storePasswordkeyAlias rootProject.keyAliaskeyPassword rootProject.keyPasswordenableV1Signing trueenableV2Signing trueenableV3Signing trueenableV4Signing true}
}

或者使用命令行,借助apksigner工具签名,输入命令:

apksigner sign --v1-signing-enabled true --v2-signing-enabled true --v3-signing-enabled true --ks platform.jks unsigned.apk

apksigner是工具名称,–v1-signing-enabled true表示添加v1签名,本次命令同时添加v1、v2和v3签名,均使用platform.jks证书。

但是实际测试下来,enableV2SigningenableV3Signing是可以控制的,enableV1SigningenableV4Signing控制无效。

3.3 应用重新签名

apksigner 提供了对 APK 文件进行签名的命令行语法如下:

apksigner sign --ks keystore_path --ks-key-alias alias_name --out output_apk input_apk

这里是每个参数的说明:

  • sign:指定要执行的操作为签名操作。
  • --ks keystore_path:指定密钥库(JKS 文件)的路径。
  • --ks-key-alias alias_name:指定要用于签名的密钥库中的别名。
  • --out output_apk:指定签名后的 APK 文件的输出路径和文件名。
  • input_apk:指定要签名的原始 APK 文件的路径和文件名。

你需要替换命令中的 keystore_pathalias_nameoutput_apkinput_apk 为实际的值。在运行命令之前,请确保已经安装并正确配置了 apksigner 工具,以及提供了有效的密钥库和别名。此外,还需要确保你具有对密钥库的访问权限,并且了解密钥库和别名的密码。

四、签名文件及其工具

4.1 签名文件

PEM、JKS(Java KeyStore)、PK8 文件的简要对比表

特征PEM 文件JKS 文件PK8 文件
格式文本格式,Base64 编码的 ASCII 文件二进制格式的 Java KeyStore 文件二进制格式的私钥文件
用途证书、私钥、公钥交换存储密钥、证书链存储 PKCS#8 格式的私钥
支持内容通常包括证书(X.509)、私钥证书、私钥、根证书、中间证书等私钥
扩展名.pem.crt.key.jks.keystore.pk8
密码保护可选,可以使用密码保护私钥是,可以为整个 KeyStore 设置密码可选,可以使用密码保护私钥
常见工具OpenSSLJava Keytool,KeyStore Explorer 等通常用于 Android 签名工具
平台兼容性跨平台主要用于 Java 环境主要用于 Android 签名

PEM 文件和 JKS 文件是用于存储密钥和证书的通用格式,而 PK8 文件则是特定于 Android 平台的私钥文件格式。PEM 文件通常用于存储 SSL/TLS 证书,而 JKS 文件通常用于存储 Android 应用程序的签名证书。

  1. PEM 文件(Privacy-Enhanced Mail)

PEM 是一种基于文本的文件格式,用于存储密钥和证书。PEM 文件使用 Base64 编码,以便在文本文件中进行传输和处理。PEM 文件通常用于存储证书、私钥以及其他与密钥和证书相关的信息。

PEM 文件的内容通常以"-----BEGIN…“和”-----END…"标记包围的块形式呈现。PEM 文件可以包含不同类型的内容,例如公钥、私钥、证书请求(CSR)和 CA 根证书等。 PEM 格式支持的算法包括 RSA、DSA 和 ECDSA 等。

  1. JKS 文件(Java KeyStore)

JKS 是 Java KeyStore 的缩写,是 Java 平台下的一种密钥存储格式。JKS 文件是二进制格式的密钥库,用于存储密钥、证书和可信任的证书颁发机构(CA)证书。

JKS 文件是 Java KeyStore 类的默认格式,它可以包含多个条目,每个条目都有一个别名(Alias)和相应的密钥或证书。JKS 文件通常在 Java 程序和框架中使用,用于管理密钥和证书。JKS 格式支持的算法包括 RSA、DSA 和 ECDSA,以及更多的加密和签名算法。

  1. PK8 文件

PK8 文件是一种用于存储私钥的文件格式。PK8 文件通常用于 Android 平台中,用于存储应用程序的私钥。这些私钥用于应用的签名和应用发布过程中的安全验证。

PK8 文件是基于 DER(Distinguished Encoding Rules)编码的,是一种二进制格式。它通常包含应用的私钥,用于对应用进行数字签名。

PK8 文件是存储 PKCS#8 格式的私钥的二进制文件。通常用于 Android 平台的应用签名,Android 签名工具使用的是这种格式的私钥。

4.2 工具 apksigner

apksigner 是 Android SDK 中的一个命令行工具,用于对 APK 文件进行签名和验证。它是 Android 7.0(API 级别 24)及更高版本引入的工具,用于替代之前的 jarsigner 工具。

apksigner 提供了更高级的 APK 签名功能,包括 APK 签名方案 v2 和 v3 的支持。它还可以验证 APK 的签名,以确保 APK 文件未被篡改,并且可以提供关于 APK 签名的详细信息。你可以通过以下步骤获取 apksigner 工具:

  1. 安装 Android SDK:首先,确保你已经安装了 Android SDK(Software Development Kit)。Android SDK 可以从 Android 开发者网站(https://developer.android.com/studio)上下载和安装。

  2. 配置环境变量:将 Android SDK 的 build-tools 目录路径添加到系统的环境变量中。这个目录包含了 apksigner 工具。具体路径可能因你的 Android SDK 安装位置和版本而有所不同。

  3. 检查 apksigner 工具:打开命令行终端,并输入以下命令来验证 apksigner 是否正确安装:

apksigner --version

如果 apksigner 安装正确,将显示 apksigner 的版本信息。apksigner 是在 Android SDK 的 build-tools 目录中提供的,因此你需要确保你已经安装了相应版本的 build-tools

除了 apksigner ,还有一个类似的工具 jarsigner
用途:
(1) jarsigner 是 Java 开发工具包(Java Development Kit,JDK)中的一部分,主要用于对 JAR 文件进行数字签名。它不是专门设计用于 Android APK 文件的。
(2) apksigner 是 Android SDK(Software Development Kit)的一部分,专门设计用于对 Android APK 文件进行数字签名。它提供了更多与 Android 签名相关的功能,并支持 APK Signature Scheme v2、v3、v4 等 Android 特定的签名方案。

签名方案:
(1) jarsigner 主要支持 Java Keystore(JKS)格式,并使用 JAR 签名规范。在 Android 中,它可以用于签名 APK,但可能无法充分利用 Android 平台引入的新签名方案。
(2) apksigner 是专为 Android APK 文件设计的,支持 APK Signature Scheme v2、v3、v4 等。这些签名方案提供了更强大的安全性和验证功能,且 apksigner 是 Android 官方推荐的签名工具。

🚀 apksigner 命令中的常用选项和用法

  1. APK 签名
apksigner sign --ks keystore.jks --ks-key-alias mykey --out signed.apk unsigned.apk

这个命令使用名为 keystore.jks 的密钥库文件中的 mykey 别名下的密钥对 unsigned.apk 进行签名,并将签名后的 APK 保存为 signed.apk。

  1. 查看 APK 签名信息
apksigner verify --print-certs signed.apk

这个命令验证并打印 signed.apk 中的签名信息和证书链。

  1. 验证 APK 完整性
apksigner verify --verbose signed.apk

这个命令验证 signed.apk 的完整性,并显示详细的验证结果。

  1. 检查 APK 签名版本
apksigner verify --verbose --print-certs signed.apk | grep "Signer #"

这个命令检查 signed.apk 中使用的 APK 签名方案版本。

  1. 提取 APK 签名证书
apksigner extract-cert --verbose --cert pem --out certificate.pem signed.apk

这个命令从 signed.apk 中提取签名证书,并将其保存为 certificate.pem 文件。

使用 apksigner --help 命令查看更多的选项和帮助信息。

4.3 工具 keytool

keytool 是 Java 开发工具包(JDK)中的一个命令行实用程序,用于创建和管理密钥库(KeyStore)和相关的数字证书。它提供了一组功能来生成密钥对、生成证书签名请求、导入和导出证书等操作,以及管理密钥库的密码和别名。

keytool 是一个强大而灵活的工具,通常用于与公钥基础设施(Public Key Infrastructure,PKI)相关的任务,例如在开发和部署 Java 应用程序时使用数字证书进行身份验证和数据加密。

要使用 keytool,需要安装 Java Development Kit(JDK)并设置正确的环境变量。然后可以在命令行中使用 keytool 命令,并提供相应的选项和参数来执行所需的操作。

🚀 keytool 命令中的常用选项和用法

  1. 生成密钥对(Key Pair)
keytool -genkeypair -alias mykey -keyalg RSA -keysize 2048 -keystore keystore.jks

这个命令生成一个 RSA 密钥对,并将其存储在名为 mykey 的别名下,保存在名为 keystore.jks 的密钥库文件中。

  1. 查看密钥库内容
keytool -list -keystore keystore.jks

这个命令显示密钥库文件 keystore.jks 中存储的密钥和证书的详细信息。

  1. 导出证书
keytool -export -alias mykey -file certificate.crt -keystore keystore.jks

这个命令将别名为 mykey 的证书导出到名为 certificate.crt 的文件中。

  1. 导入证书
keytool -import -alias mykey -file certificate.crt -keystore keystore.jks

这个命令将名为 certificate.crt 的证书导入到密钥库文件 keystore.jks 中,使用别名 mykey

  1. 更改密钥库密码
keytool -storepasswd -keystore keystore.jks

这个命令用于更改密钥库文件 keystore.jks 的密码。

  1. 更改密钥密码
keytool -keypasswd -alias mykey -keystore keystore.jks

这个命令用于更改别名为 mykey 的密钥的密码。

使用 keytool -help 命令查看更多的选项和帮助信息。

4.4 签名证书格式转换

JKS(Java KeyStore)和 PEM(Privacy Enhanced Mail)是两种不同的密钥存储和交换格式。以下是在两者之间进行互转的方法:

(1) JKS 到 PEM

  1. 导出证书和私钥到 PKCS12 格式:
    keytool -importkeystore -srckeystore your_keystore.jks -destkeystore keystore.p12 -srcstoretype JKS -deststoretype PKCS12
    

参数说明:

  • keytool:用于管理密钥和证书的命令行工具。
  • -importkeystore:用于将密钥库从一种格式转换为另一种格式的命令。Android stduio v3签名
  • -srckeystore:指定源密钥库文件的路径。
  • -destkeystore:指定目标密钥库文件的路径。
  • -deststoretype:指定目标密钥库的类型。
  1. 导出证书和私钥到 PEM 格式:

    openssl pkcs12 -in keystore.p12 -out keystore.pem
    
  2. 提取私钥:

    openssl rsa -in keystore.pem -out private-key.pem
    
  3. 提取证书:

    openssl x509 -in keystore.pem -out certificate.pem
    

(2) PEM 到 JKS

  1. 将私钥和证书合并成 PKCS12 格式:

    openssl pkcs12 -export -out keystore.p12 -inkey private-key.pem -in certificate.pem
    
  2. 将 PKCS12 导入到 JKS:

    keytool -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -destkeystore your_keystore.jks -deststoretype JKS
    

在这些步骤中,your_keystore.jks 是原始的 JKS 文件,private-key.pemcertificate.pem 是 PEM 格式的私钥和证书文件。在实际操作中,确保替换这些文件名和路径为你实际的文件名和路径。

请注意,这些命令假设你的系统上已经安装了 OpenSSL 工具和 Java Keytool。在执行这些命令之前,请备份你的密钥库和证书,以避免意外丢失数据。

五、总结

在 Android 开发中,应用程序签名是一个重要的步骤,用于确保应用程序的完整性、真实性和安全性。AOSP 提供了强大的 apksigner 工具,可用于对 APK 进行签名。开发者需要选择适合的签名方案,并遵循最佳实践和安全建议来保护密钥库和签名的安全性。

相关参考
[1] SigningConfig:https://developer.android.com/reference/tools/gradle-api/7.0/com/android/build/api/variant/SigningConfig
[2] apksigner:https://developer.android.com/studio/command-line/apksigner?hl=zh-cn#usage-rotate
[3] keytool:https://docs.oracle.com/javase/8/docs/technotes/tools/unix/keytool.html
[4] 为应用签名:https://developer.android.com/studio/publish/app-signing?hl=zh-cn
[5] 证书格式转换:https://myssl.com/cert_convert.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/294110.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

GIT具体配置步骤详解

GIT配置具体步骤如下 SDK 使用 Repo 工具管理,拉取 SDK 需要配置安装 Repo 工具。 Repo is a tool built on top of Git. Repo helps manage many Git repositories, does the uploads to revision control systems, and automates parts of the development workf…

php学习01-Hello World

开发环境搭建 参考 如果没有搭建的请参考上面的文章进行搭建 新建index.php <?php echo Hello World; ?>访问 修改index.php代码 <?php phpinfo() //主要是用来打印php的一些配置信息方便后期排查配置是否正确以及插件是否开启 ?>

IP应用场景的规划

IP地址作为互联网通信的基石&#xff0c;在现代社会中扮演着至关重要的角色。本文将深入探讨IP地址在不同应用场景中的规划与拓展&#xff0c;探讨其在网络通信、安全、商业、医疗和智能城市等领域的关键作用与未来发展趋势。 IP地址的基本原理 IP地址是分配给网络上设备的数…

输电线路定位:应对复杂环境,确保电力传输畅通无阻

在现代社会&#xff0c;电力作为我们生活和工业生产的重要能源&#xff0c;其安全、稳定、高效的传输显得尤为重要。而输电线路的定位与监测&#xff0c;正是保障电力传输畅通无阻的关键环节。恒峰智慧科技将详细介绍输电线路分布式故障定位及隐患监测装置HFP-GZS2000的技术原理…

万界星空开源MES/注塑MES/开源注塑MES/免费MES/MES源码

一、系统概述&#xff1a; 万界星空科技免费MES、开源MES、商业开源MES、市面上最好的开源MES、MES源代码、适合二开的开源MES、好看的数据大屏、功能齐全开源mes. 1.万界星空开源MES制造执行系统的Java开源版本。 开源mes系统包括系统管理&#xff0c;车间基础数据管理&…

nodejs+vue+ElementUi家政服务系统c90g5

项目中登录模块用到token家政服务平台有管理员&#xff0c;雇主&#xff0c;雇员三个角色。管理员功能有个人中心&#xff0c;雇主管理&#xff0c;雇员管理&#xff0c;资料认证管理&#xff0c;项目类型管理&#xff0c;服务项目管理&#xff0c;需求信息管理&#xff0c;服务…

BUUCTF-Linux Labs

Linux Labs 根据题目给出的内容&#xff0c;在kali中连接靶机&#xff0c;输入密码进入命令行模式 ls发现什么都没有&#xff0c;有可能进入到了一个空文件夹 cd .. 切换到上一层目录&#xff0c;ls查看此目录下的内容&#xff0c;发现flag.txt文件&#xff0c;查看文件是flag …

消除蛋蛋派

欢迎来到程序小院 消除蛋蛋派 玩法&#xff1a;消除游戏&#xff0c;三个相同形状的蛋蛋连成一条直线即可消除&#xff0c;点击鼠标左键移动球球进行消除&#xff0c; 可以使用道具&#xff0c;共有50关卡&#xff0c;快去闯关吧^^。开始游戏https://www.ormcc.com/play/gameS…

iOS 开发设计 App 上架符合要求的截图

1. 真机运行截屏 2. 可以在 Apple developer 官网 Design 下找到 iPhone 边框 https://developer.apple.com/design/resources/ 不用这个边框也行&#xff0c;可以参考已上架 App 的图片框 3. 使用 Procreate&#xff08;PhotoShop&#xff09;创建符合要求的画布大小 4. 导入…

2024年ICON设计趋势

我的新书《Android App开发入门与实战》已于2020年8月由人民邮电出版社出版&#xff0c;欢迎购买。点击进入详情 目录 极简主义 三维形式和现实主义 抽象主义与几何 微交互和动画 艺术装饰 有机和可持续 颗粒感美学 图标设计最佳实践 图标在品牌塑造中的作用 图标是用…

spring aop实际开发中怎么用,Spring Boot整合AOP,spring boot加spring mvc一起使用aop,项目中使用aop

前言&#xff1a;本文不介绍 AOP 的基本概念、动态代理方式实现 AOP&#xff0c;以及 Spring 框架去实现 AOP。本文重点介绍 Spring Boot 项目中如何使用 AOP&#xff0c;也就是实际项目开发中如何使用 AOP 去实现相关功能。 如果有需要了解 AOP 的概念、动态代理实现 AOP 的&…

YB75XXH系列是采用CMOS工艺制造,低功耗的高压稳压器

YB75xxH 高耐压线性稳压器 ■产品简介&#xff1a; YB75XXH系列是采用CMOS工艺制造&#xff0c;低功耗的高压稳压器&#xff0c;最高输入电压可达25V,输出电压范围为1.5V一12.0V。它具有高精度的输出电压、极低的供电电流、极低的跌落电压等特点。 ■产品特点&#xff1a; …