Android签名的研究

曾听同事说起，两位同事同时使用同一台Android设备，而工程包名相同时，会发生无法安装的情况。这些情况和Android签名有关。所以研究下相关知识。

0.背景知识：

Android系统要求所有的APK均有签名，否则无法安装。 Android使用证书作为标识应用程序作者的一种方式, 并在应用程序之间建立信任关系. 证书并不用来控制用户能否安装哪个应用. 证书不需要由证书认证中心签名: 完全可以使用自签名证书。但在开发过程中，很多时候并未意识到需要有签名。因为在测试和Debug过程中，Build tools 会帮你给APK加上一个特殊的签名。这个签名由Android SDK build tools生成。当程序需要Release时，则必须使用私有的签名。此时不能够再使用由Build Tools 产生的Debug Key来签名。

Android 签名机制有什么目的呢，

首先，由于恶意开发者可能通过使用相同的Package Name来混淆替换已经安装的程序，签名可以保证相当名字，但是签名不同的包不被替换。

其次，一些特别的权力需要验证时会使用签名。 例如需要让APK具有系统权限。则意味着不光需要在manifest节点中增加android:sharedUserId="android.uid.system"。 同时还需要使用目标系统签名。

Build模式有两种：Debug模式和Release模式。 在Debug模式， Build Tools 使用Keytool utility (included in the JDK) 来创建一个Debug key. 会自动为APK文件添加Debug签名。在Release模式下，你必须使用私有的Key来为APK签名。私有Key可以用Keytool utility来生成。

Debug Key 有效期为一年，一年后会出问题，但如果删除Debug Key，build Tools会再产生一个。

删除方法为：rm -rf  ~/.android/debug.keystore 

过期信息：

debug: [echo] Packaging bin/samples-debug.apk, and signing it with a debug key... [exec] Debug Certificate expired on 8/4/08 3:43 PM

1. 生成私有Key：

JDK的bin目录下有个工具keytool，用来生成keystore.

$sudo keytool -genkey -alias android.keystore -keyalg RSA -validity 20000 -keystore android.keystore

下面会问很多问题，最终生成私有的密钥。其中密码要记住。后面要用到。

生成的Keystore在本目录内。

keytool使用说明见注1。

2. 生成可发布Release版本APK的方法：

2.1: 方法一：

2.1.1：可以首先生成无签名Release版本APK:

在Eclipse内，右击项目名称。 Android Tools -> export Unsigned application package

生成无签名包。

2.1.2: 利用jarsigner  给APK签名：

jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-release-key.keystore
my_application.apk alias_name

2.2: 方法二：

直接使用私有Keystore生成带有签名的APK：

在Eclipse内，右击项目名称。 Android Tools -> export signed application package

后面会要求选择Android.Keystore. 输入密码等。

最终就会生成带有私有签名的APK文件。

3. APK使用系统权限的理由和方法：

一些APK在使用中，需要拥有系统权限，比如修改系统时间等。另外，还有一种需要系统权限的情况是：需要访问Linux device. 而这些device的创建者是system. 访问权限是：660。(这是Sam当前的需求)

APK得到系统权限，有两种方法(但都需要Android编译时本身的系统签名文件)：

方法一：

1. 在Android Elcipse工程中，在AndroidManifest.xml 中，添加： android:sharedUserId="android.uid.system">

例如：

        package="com.android.settings"

        coreApp="true"

        android:sharedUserId="android.uid.system">

2. 导出未签名的APK包：

右击工程， Android Tools -> Export Unsigned Application Package...

生成一个未签名的APK。这个APK无法安装的。

3. 利用工具加入系统签名：

首先，第一步，要有目标Android平台的公钥文件和私钥文件。

他们显然存放在Android代码树中，具体目录为：

android/build/target/product/security

私钥文件：platform.pk8  

公钥文件：platform.x509.pem

java -jar signapk.jar platform.x509.pem platform.pk8　old.apk new.apk　

这样则生成一个签名和目标系统完全一致的APK文件。

方法二：

1. 在Android Elcipse工程中，在AndroidManifest.xml 中，添加： android:sharedUserId="android.uid.system">

2. 在工程目录下，添加Android.mk文件。并在Android.mk中添加：

LOCAL_CERTIFICATE := platform

3. 生成带签名的APK：

然后将其放置于 android/packages/apps 目录下。 

进入目录，运行mm即可。

但此处请注意：Android.mk的写法与NDK编译和Android.mk写法不同。尤其是有jni模块时，还需要在jni目录下创建自己的Android.mk。 这里不详细说。未来再讲。

运行完毕后，也会生成一个拥有此Android平台系统权限的APK。

4. 拥有系统签名的APK的变化：

除了拥有类似修改系统时间这样的权力外，拥有系统签名的APK有什么变化呢？

ＡＰＫ在运行时，在Linux层面，会生成一个进程。它们的父进程都是zygote. 

当没有系统权限的APK运行时，它的User为类似：u0_a67这样的用户。

而当有系统权限的APK运行时，它的User为system.

这在Linux层有巨大意义。

在Linux /dev目录下，某些device(如：/dev/uinput,/dev/video0)的拥有者，正是system. 它们的访问权限为：660。

当某APK使用jni方式访问这类device时，没有系统权限的APK用户为other,对应device访问权限为：0。不可读写，不可执行。所以会失败。

而当此APK拥有系统权限时，它的拥有者为system. 对应device的访问权限为6,可读写。则jni 可以open ,read,write,ioctl则没有问题。

注1：keytool说明：

-genkey	生成一个key pair (公钥和私钥)
-v	允许详细内容输出.
-alias	key的别名. 只会用到前8个字符.
-keyalg	生成key时的加密算法. 支持 DSA 和 RSA.
-keysize	生成的key的大小(bits). 如果不提供, Keytool使用默认的Key大小:1024.  通常情况下,我们推荐使用 2048或者更大的key尺寸.
-dname	描述key的创建者的标识名称.  在自签名证书中, 本参数会出现在发布者和主题字段.  注意, 不要在命令行下指定这个选项. 此时 Jarsigner会提示你输入每一个标识名称字段(CN, OU,等)
-keypass	key的密码. 安全起见, 不要在命令行中包含这个选项.  此时Keytool会提示你输入密码.  这种方式中, 密码不会被保存在shell历史数据中.
-validity	key的有效期, 以天数为单位.  注意: 推荐使用10000或更大的数字.
-keystore .keystore	保存私钥的keystore名称.
-storepass	keystore的密码.  安全起见, 不要在命令行中包含这个选项.  此时, Keytool会提示输入这个密码.  在这种方式中, 密码不会被保存在shell历史数据中.

一个使用Keytool命令生成私钥的例子:

原文：http://blog.sina.com.cn/s/blog_602f87700101jm9b.html