android 签名文件的作用,Android 签名机制:Key的产生方法和签名原理

最新推荐文章于 2023-03-23 14:14:25 发布
最新推荐文章于 2023-03-23 14:14:25 发布
阅读量235 收藏
点赞数
文章标签: android 签名文件的作用

(1)生成MANIFEST.MF文件

生成MANIFEST.MF是对APK包中所有未签名文件逐个用算法SHA1进行数字签名,再对数字签名信息采用Base64进行编码,最后将编完码的签名写入MANIFEST.MF文件中。添加数字签名到manifest文件通过调用addDigestsToManifest方法实现,具体代码如下:

(简言之:MANIFESt.MF 文件中的内容就是通过遍历apk中所有文件(entry),逐一生成SHA-1数字签名,然后通过Base64编码转码)private static Manifest addDigestsToManifest(JarFile jar)

{

……

//遍历update.apk包中所有文件

//得到签名文件内容

InputStreamdata=jar.getInputStream(entry);

//更新文件内容

while ((num=data.read(buffer))>0) {

md.update(buffer, 0, num);

}

……

//进行SHA1签名,并采用Base64进行编码

attr.putValue("SHA1-Digest", base64.encode(md.digest()));

output.getEntries().put(name, attr);

……

}

需要说明,生成MANIFEST.MF使用了SHA1算法进行数字签名,SHA1是一种Hash算法,两个不同的信息经Hash运算后不会产生同样的信息摘要,由于SHA1是单向的,所以不可能从消息摘要中复原原文。如果恶意程序改变了APK包中的文件,那么在进行APK安装校验时,改变后的摘要信息与MANIFEST.MF的检验信息不同,应用程序便不能安装成功。

(2)生成CERT.SF文件

在生成MANIFEST.MF文件之后,用SHA1-RSA算法对其进行私钥签名(使用SHA1-RSA算法,用私钥对MANIFEST.MF摘要文件签名,并对其中每个文件摘要签名),便生成CERT.SF。具体代码如下:Signaturesignature=Signature.getInstance("SHA1withRSA");

signature.initSign(privateKey);

je=newJarEntry(CERT_SF_NAME);

je.setTime(timestamp);

outputJar.putNextEntry(je);

writeSignatureFile(manifest, newSignatureOutputStream(outputJar, signature));

RSA是目前最有影响力的公钥加密算法,是一种非对称加密算法、能够同时用于加密和数字签名。由于RSA是非对称加密算法,因此用私钥对生成MANIFEST.MF的数字签名加密后,在APK安装时只能使用公钥才能解密它。

(3)生成CERT.RSA文件

生成CERT.RSA文件与生成CERT.SF文件不同之处在于,生成CERT.RSA文件使用了公钥文件。CERT.RSA文件中保存了公钥以及所用的采用加密算法等信息。具体代码如下:je=newJarEntry(CERT_RSA_NAME);

je.setTime(timestamp);

outputJar.putNextEntry(je);

writeSignatureBlock(signature, publicKey, outputJar);

通过以上对Android应用程序签名的代码分析,可以看出Android系统通过对第三方APK包进行签名,达到保护系统安全的目的。应用程序签名主要用于对开发者身份进行识别,达到防范恶意攻击的目的,但不能有效地限制应用程序被恶意修改,只能够检测应用程序是否被修改过,如果应用程序被修改应该再采取相应的应对措施。

Android签名机制介绍:生成keystore、签名、查看签名信息等方法
01-21
Android独有的安全机制,除了权限机制外,另外一个就是签名机制了。签名机制主要用在以下两个主要场合起到其作用:升级App权限检查。...至于签名机制原理及其他作用,此不详述,本文主要介绍,签名文件key的生成、
Android系统签名文件生成工具
最新发布
08-11
INCOMPATIBLE的安装错误,解决这个错误的办法就需要使用同一个签名文件,这个签名文件可以用我们这个工具来生成,里面的platform.pk8platform.x509.pem两个签名文件Android原生的,如果设备厂商修改过,就需要向...
【转】android签名
我的技术空间
11-15 160
1.  为什么要签名     1)  发送者的身份认证          由于开发商可能通过使用相同的 Package Name 来混淆替换已经安装的程序,以此保证签名不同的包不被替换     2)  保证信息传输的完整性          签名对于包中的每个文件进行处理,以此确保包中内容不被替换     3)  防止交易中的抵赖发生, Market 对软件的要求2.   签名的说明...
安卓系统签名文件的使用
JannaLius的博客
12-30 2454
系统签名文件的定义作用 Android APK的发布是需要签名的。签名机制Android应用框架中有着十分重要的作用。例如,Android系统禁止更新安装签名不一致的APK;如果应用需要使用system权限,必须保证APK签名与Framework签名一致。所有的APK都是有签名的,如果没有指定签名文件,编译时会默认用SDK目录下的debug签名文件Android签名机制有很多的作用...
android 命令创建签名文件keystore、修改已有keystore的别名密码、密钥库密码,重新签名APK
Alex老夫子的专栏
09-27 1万+
由于现在开发android JDK基本都是用的1.7及以上,所以低版本的JDK的就不记录了。 首先找到一个文件夹,以下操作都在同一个文件夹内,这样是为了更加方便,当然也可以不这么做,那么后面的命令行中对应文件就要指出路径了, 当然在AndroidStudio中的终端操作也是可以的。 用命令进入这个文件夹,这个命令我就不写出来了 一、创建签名文件 命令: keytool -genkey ...
android 应用签名作用
weixin_30378311的博客
06-27 750
来源:https://www.jianshu.com/p/61206c96471a 1.、应用程序升级:如果你希望用户无缝升级到新的版本,那么你必须用同一个证书进行签名。这是由于只有以同一个证书签名,系统才会允许安装升级的应用程序。如果你采用了不同的证书,那么系统会要求你的应用程序采用不同的包名称,在这种情况下相当于安装了一个全新的应用程序。如果想升级应用程序,签名证书要相同,包名称要相同!...
Android APK签名有什么用呢?
z_hongliang的博客
04-08 1万+
很多Android开发者不明白APK签名有什么作用,其实APK签名用处主要有两种:  1. 使用特殊的key签名可以获取到一些不同的权限。  2. APK如果使用一个key签名,发布时另一个key签名的文件将无法安装或覆盖老的版本,      这样可以防止你已安装的应用被恶意的第三方覆盖或替换掉。  3.防止程序发布后被篡改签名一般用私钥,私钥签名以后会生成harsh值序列,    公钥
java生成及验证android签名文件源码及生成签名文件
09-05
首先,让我们理解Android签名文件的核心作用Android签名文件(通常为`.keystore`格式)是一个包含了应用开发者私钥的加密文件,用于对APK进行数字签名。这个签名确保了应用的来源可追溯,并且在安装时能被系统验证...
android原生系统签名文件
08-14
Android操作系统中,签名文件扮演着至关重要的角色,它们确保了系统的安全性完整性。本文将深入探讨"android原生系统签名文件"的相关知识点,以及压缩包中提供的各个文件的用途。 首先,Android系统使用签名...
android签名,制作key
Steampy专栏
01-23 1117
android签名,制作key 签名具体步骤: Apk签名首先要有一个keystore的签名用的文件. keystore是由jdk自带的工具keytool生成的.具体生成方式参考一下: 开始->运行->cmd->cd 到你安装的jdk的目录这里我是 C:\Program Files\Java\jdk1.6.0_10\bin 然后输入:keytool -genkey -alias
android apk文件里MANIFEST.MF、CERT.SF、CERT.RSA三者的关系(csdn)————程序.pdf
12-01
android apk文件里MANIFEST.MF、CERT.SF、CERT.RSA三者的关系(csdn)————程序
android 为什么需要签名
热门推荐
JackieGemini
10-27 2万+
所有的Android应用程序都要求开发人员用一个证书进行数字签名,anroid系统不会安装没有进行签名的由于程序。     平时我们的程序可以在模拟器上安装并运行,是因为在应用程序开发期间,由于是以Debug面试进行编译的,因此ADT根据会自动用默认的密钥证书来进行签名,而在以发布模式编译时,apk文件就不会得到自动签名,这样就需要进行手工签名。     给apk签名可以带来以下好处:
Android key 派发机制笔记
Sailingthink的专栏
05-19 793
昨天在公司遇到bug,Activity如法接受到触屏点击消息按键消息。粗略的看了下Androidkeyevent的派发机制,发现是被IME拦截处理了,所以不会在给Activity callback。 先把简单流程图保存在此,以后有时间在深入学习。
Android签名key相关
hasayaqimomo的专栏
07-22 391
Android签名key相关 没有签名的apk包签名方法 密匙库文件为 d:\project\xxxxx.keystore 别名(Alias)为LQ 那么签名的命令为: jarsigner -verbose -keystore xxxxxxx.keystore -signedjar xxxsign.apk xxx.apk LQ 获取sha1值 开发模式使用 debug.k...
Android生成签名证书(.keystore)
培根芝士的专栏
03-23 1251
Android平台签名证书(.keystore)生成指南
Android生成签名文件对应用签名 & Android签名作用
qq_41466437的博客
05-09 3166
1、 Android签名机制其实是对APK包完整性发布机构唯一性的一种校验机制。 2、Android签名机制不能阻止APK包被修改,但修改后的再签名无法与原先的签名保持一致。 (除非拥有发布者的私钥)。 3、APK包加密的公钥就打包在APK包内,且不同的私钥对应不同的公钥。换句话言之,不同的私钥签名的APK公钥也必不相同。所以我们可以根据公钥的对比,来判断私钥是否一致。 4、确定发布者身份,可以根据公钥来对APP进行更新,换句话说:可以防止APP被其他包名相同应用覆盖
Android APK 签名文件MANIFEST.MF、CERT.SF、CERT.RSA分析
lxlmycsdnfree的博客
02-27 3548
首先我们找一个已经签名的apk文件,修改后缀名为zip,然后解压。可以看到里面有一个META-INF文件夹,里面就是签名验证的文件。有三个文件MANIFEST.MF、CERT.SF、CERT.RSA分别保存着不同的签名信息,下面一个一个来分析:首先是MANIFEST.MF文件,打开MANIFEST.MF文件如下:Manifest-Version: 1.0Created-By: 1.0 (Andro...
Android签名打包、密钥库、密钥全面解析
野生程序员
08-21 1万+
前言Android要求所有的应用必须进行数字签名才可以发布,也就是我们平时所说的使用证书打包然后上传市场。这个签署的过程又包括创建存储证书,使用不同证书签署不同的构建配置,及自动签署过程。重要的角色:证书密钥库 公钥证书又称为数字证书身份证书包含公钥/私钥对的公钥,以及可以标识密钥所有者的一些其他元素,例如名称位置,证书持有者持有对应的私钥在签署工具签署我们的APP时,会自动将我们的公钥证
jar 包中的META-INF文件夹下面的MANIFEST.MF
xiechao240的专栏
10-30 2223
<br />个文件夹里面有文件:MANIFEST.MF<br />Manifest-Version: 1.0<br />Ant-Version: Apache Ant 1.7.1<br />Created-By: 14.0-b16 (Sun Microsystems Inc.)<br />Main-Class: com.hadeslee.yoyoplayer.player.ui.Main<br />Class-Path: lib/commons-codec-1.3.jar lib/commons-httpc
Java实现Android签名文件的生成与验证方法
综上所述,生成验证Android签名文件涉及到密钥库的管理、密钥对的生成、证书的创建验证,以及keystore文件的使用安全保管。Java提供了强大的API工具(如keytooljarsigner)来帮助开发者完成这一过程。理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值