Android签名原理

最新推荐文章于 2025-05-30 14:16:22 发布
最新推荐文章于 2025-05-30 14:16:22 发布
阅读量1.8k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: Android 文章标签: android 签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oqqTim12/article/details/39936465
这篇博客主要介绍了Android APK的签名原理,包括如何生成签名文件、签名的作用、签名算法以及MANIFEST.MF文件的内容解析。Android签名确保了APK的完整性和防止被恶意篡改,同时也影响覆盖安装时的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、如何对一个APK签名?

网上资料比较多,找了一个比较好的:

http://xlover.iteye.com/blog/1111560

简单来说,步骤为:

1、生成签名文件key.keystore,并指定签名文件的密码:

jarsigner -verbose -keystore key.keystore -signedjar notepad_signed.apk notepad.apk key.keystore

2、用签名文件key.keystore对APK进行签名:

 jarsigner -verbose -keystorekey.keystore -signedjar notepad_signed.apk notepad.apk key.keystore


二、签名的作用是什么?

这里需要补一下信息安全方面的知识,如下,数字签名的作用:

http://www.docin.com/p-99435359.html

因此,衍生出两个Android签名最重要的作用:

1、确认你的APK没有被人恶意篡改;(数字签名的作用)PS:脑补一下,QQ里面被人恶意篡改,然后你在不知情的情况下下载到

2、通过对比你的签名文件,保证在覆盖安装时,你的APP不会被其他人覆盖;(衍生作用) PS:你应该不希望自己的APP被其他人覆盖吧,除了你自己


4、签名是如何起作用的?

目前主流的签名算法,有RSA、DES等等,都是基于一些公认的数学理论;(比如RSA是基于大数分解)

简单来说,签名步骤如下:

1、使用私钥R,对数据D进行计算,得出结果S;

2、将公钥P,公布给其他人,其他任何使用P,能对数据D,结果S,进行验证。

3、如果P+S+D=验证通过,那么其他人认为数据D没有被篡改;


对应到Android中,就是(以下以RSA算法签名为案例):

私钥R:存储在key.keystore中;

公钥P:存储在key.keystore中(我自己总要存一份吧),对外存储在META-INF\CERT.RSA中(任何人都可以拿到);

数据D:APK中的每个文件(记录在META-INF\MANIFEST.MF中);

结果S:存储在META-INF\CERT.SF中;


反过来,已经明白APK中key.keystore文件的实际意义,以及META-INF以及各个文件的作用,详情如下:

key.keystore:存储私钥+公钥,用户可以通过密码提取出来;

CERT.RSA:对外暴露的公钥

MANIFEST.MF:记录APK每个文件的MD5

CERT.SF:保存签名结果

系统验证只需要保证(CERT.RSA、MANIFEST.MF、CERT.SF)能满足某一数学公式即可

附上RSA算法原理,有兴趣可以看一下签名过程以及验证过程:

http://blog.csdn.net/sunmenggmail/article/details/11994013


三、MANIFEST.MF  解析

上面已经说明了MANIFEST.MF 作用,现在详解其格式;

随便打开一个APK文件,MANIFEST.MF 格式都是:

Manifest-Version: 1.0
Created-By: 1.6.0_24 (Sun Microsystems Inc.)

Name:XXXXX

SHA1-Digest:XXXXXX

..........

..........

..........

很好理解,Name表示单个文件路径,SHA1-Digest表示MD5信息。MANIFEST.MF 存储所有APK文件的SHA1值


四、通常说的APK签名是什么?

签名指的是:android.content.pm.PackageInfo中Signature[] signatures对象

通常来说,为了方便数据计算,需要对其signatures[0] or 1 计算MD5值,转换成为string对象:

        try {
            PackageInfo packageInfo = getPackageManager()
                    .getPackageInfo(packageName, PackageManager.GET_SIGNATURES);
            String signMd5 =  MD5.toMD5(packageInfo.signatures[packageInfo.signatures.length - 1].toCharsString());
            Log.d("Sign",signMd5);
        } catch (PackageManager.NameNotFoundException e) {
            e.printStackTrace();
        }

同理,在JAVA在读取签名:

    /**
     * 获取android包里面的所有证书MD5
     * @param apkFile 包文件
     * @return
     */
    public static String getSigMd5(File apkFile) {
        //解压APK文件,;略
        String unPackFile = unpack(apkFile);
        //针对使用RSA算法签名的APK,获取./META-INF/*.RSA文件
        File cerFile = getRSAFile(unPackFile);
        //针对使用DSA算法签名的APK,获取./META-INF/*.DSA文件
        if (cerFile == null )
            cerFile = getDSAFile(unPackFile);
        FileInputStream input = null;
        try {
            input = new FileInputStream(cerFile);
            PKCS7 pkcs7 = new PKCS7(input);
            Certificate[] certs = pkcs7.getCertificates();
            String eggPainSign = (new String(BytetoChars(certs[certs.length - 1].getEncoded())));
            String eggPainMd5 = MD5.toMD5(eggPainSign.getBytes());
            return eggPainMd5;
         } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (input != null) {
                try {
                    input.close();
                } catch (IOException e) {
                }
            }
        }
        return null;
    }

原理是:找到METE-INF下存储签名的文件(可能是RSA或者RSA结尾),生成Certificate[]对象,取起MD5即可;同时可以发现,Signature对象其实就是在Certificate基础上做了一层封装,其中BytetoChars方法如下: 

    /**
     * @param mSignature
     * @return
     */
    private static char[] BytetoChars(byte[] mSignature) {
        byte[] sig = mSignature;
        final int N = sig.length;
        final int N2 = N * 2;
        char[] text = new char[N2];
        for (int j = 0; j<N; j++) {
            byte v = sig[j];
            int d = (v >> 4)&0xf;
            text[j * 2] = (char) (d>=10 ? ('a' + d - 10) : ('0' + d));
            d = v&0xf;
            text[j * 2 + 1] = (char) (d>=10 ? ('a' + d - 10) : ('0' + d));
        }
        return text;
    }



Android签名算法的原理
是阿超
01-17 662
Android签名算法的原理
Android APK 签名打包原理分析(二)【Android签名原理
itbird的专栏
02-10 5435
APK签名打包原理,消息摘要,加密
Android签名原理
12-25
Android中的签名原理解析
安卓apk安装包签名步骤
最新发布
qq_45443475的博客
05-30 585
【代码】安卓apk安装包签名步骤。
Android中的签名机制
05-31
Android中的签名机制,告诉你如何对APK签名及其原理
Android签名机制介绍
10-30
一、Android签名机制--基础概念 1. 消息摘要算法 2. 非对称加密算法(RSA算法) 3. 数字签名 二、Android签名机制--APK签名过程 1. APK签名概述 2. APK签名相关的文件 3. 签名的过程(MANIFEST.MF) 4. 签名的过程(CERT.SF) 5. 签名的过程(CERT.RSA) 6. 签名结束 三、Android签名机制--APK签名验证过程 1. APK签名验证概述 2. 简略调用流程 3. 详细校验流程(校验CERT.RSA) 4. 总结
深入探索Android签名机制:从v1到v3的演进之旅
w风雨无阻w的专栏
05-14 2754
消息摘要(Message Digest)是一种通过单向散列算法对任意长度的数据进行计算并产生固定长度的小型摘要信息(又称哈希值或指纹)的技术。(1)、消息摘要主要特点压缩性:无论输入的数据有多大,计算出来的消息摘要的长度都是固定的,通常为128位或更长。易计算:给定需要计算摘要的数据,非常容易计算出消息摘要。隐行性:相同的输入必定得到相同的输出,但反过来,由输出极其困难推导出输入值。抗碰撞:理论上不可能找到两个不同的输入计算出相同的消息摘要。常见的消息摘要算法有:MD5、SHA-1、SHA-256等。
深入解析Android签名原理及其应用
为了深入理解Android中的签名原理,我们需要从以下几个方面展开讨论: 1. 签名的基本概念: 签名是在数字世界中确认身份的一种方法。对于Android应用而言,签名确保了应用的来源可靠性和内容未被更改。开发者在将...
Android V1签名与校验原理分析(全网最全最详细)
逍遥阁
07-21 4405
【前言】      Android Apk V1签名方式是一开始时使用的签名方案,不过V1签名方式也称作jar签名,顾名思义,就是V1签名并不是Android独有的签名方式,而且在Android还没出来时候,Jar 包也是用这种方式进行签名检验的,直到Android 7.0开始才推出V2签名,这个就是Android独创的签名方案,签名与校验的效率方面提高很多,后面Android 9.0又推出了V3签名,再到Android 11推出了V4签名方案 一、V1
android 签名
08-19
android 给apk签名 命令
[014] Android应用程序签名详解
热门推荐
柳峰的专栏
05-06 4万+
      本文主要讲解Android应用程序签名相关的理论知识,包括:什么是签名、为什么要给应用程序签名、如何给应用程序签名等。1、什么是签名?      如果这个问题不是放在Android开发中来问,如果是放在一个普通的版本,我想大家都知道签名的含义。可往往就是将一些生活中常用的术语放在计算机这种专业领域,大家就开始迷惑了。计算机所做的事情,或者说编程语言所做的事情,不正是在尽可能地模拟现实吗?所以,计算机中所说的签名和生活中所说的签名在本质上是一样的,它所起到的作用也是一致的!      让我们来看看
Android 签名/认证机制
依生依世
07-29 2197
Android 签名/认证机制一.V1签名(一)签名方式1.MANIFEST.MF2.CERT.SF3.CERT.RSA4.总结(二)安装时校验1.认证CERT.RSA2.认证CERT.SF3.认证MANIFEST.MF4.认证开发者身份(三)总结二.V2签名(一)签名方式1.签名方式2.签名数据(二)安装时校验1.V2校验入口2.获取签名数据(1)验证签名信息(2)验证摘要3.向后兼容(三)总结...
android签名机制
feiyangxiaomi的专栏
10-20 1万+
1.android为什么要签名
android签名原理
一个码农的博客
03-24 1144
为什么要签名? 确保Apk来源的真实性。 确保Apk没有被第三方篡改。 什么是签名? 在Apk中写入一个“指纹”。指纹写入以后,Apk中有任何修改,都会导致这个指纹无效,Android系统在安装Apk进行签名校验时就会不通过,从而保证了安全性。 apk组成 dex:最终生成的Dalvik字节码。 res:存放资源文件的目录。 asserts:额外建立的资源文件夹。 lib:如果存在的话,存放的是ndk编出来的so库。 META-INF:存放签名信息 MANIFEST.MF(清单文件):其中每一个资源文件都有
android应用程序的签名(Signature)
谢彦的技术博客
07-06 1357
介绍android应用程序签名: 为什么要签名, 签名的方法, 签名的相关文件, 相关工具, 相关问题
Android APK签名原理及方法
YCL_666的博客
06-14 3216
Android签名机制及原理 Android系统在安装APK的时候,首先会检验APK的签名,如果发现签名文件不存在或者校验签名失败,则会拒绝安装,所以应用程序在发布之前一定要进行签名。给APK签名可以带来以下好处: 应用程序升级 如果想无缝升级一个应用,Android系统要求应用程序的新版本与老版本具有相同的签名与包名。若包名相同而签名不同,系统会拒绝安装新版应用。 应
【转】android签名
我的技术空间
11-15 170
1.  为什么要签名     1)  发送者的身份认证          由于开发商可能通过使用相同的 Package Name 来混淆替换已经安装的程序,以此保证签名不同的包不被替换     2)  保证信息传输的完整性          签名对于包中的每个文件进行处理,以此确保包中内容不被替换     3)  防止交易中的抵赖发生, Market 对软件的要求2.   签名的说明...
Android V1及V2签名原理简析
weixin_34080571的博客
05-08 892
Android为了保证系统及应用的安全性,在安装APK的时候需要校验包的完整性,同时,对于覆盖安装的场景还要校验新旧是否匹配,这两者都是通过Android签名机制来进行保证的,本文就简单看下Android签名与校验原理,分一下几个部分分析下: APK签名是什么 APK签名如何保证APK信息完整性 如何为APK签名 APK签名怎么校验 Android的APK签名是什么 签名是摘要与非对称密钥加...
Android学习】Android APK 签名原理
bugyinyin的博客
04-08 1077
然后,再逐条计算 MANIFEST.MF 文件中每一个块的 SHA1,并经过 BASE64 编码后,记录在 CERT.SF 中的同名块中,属性的名字是 “SHA1-Digest”。使用不同的 key 生成的签名信息会不同,不同的私钥对应不同的公钥,因此最大的区别是签名证书中存放的公钥会不同,所以我们可以通过提取 CERT.RSA 中的公钥来检查安装包是否被重新签名了。一种能产生特殊输出格式的算法,其原理是根据一定的运算规则对原始数据进行某种形式的信息提取,被提取出的信息就被称作原始数据的消息摘要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值