Android签名机制详解

在Android中，所有安装到系统的应用都必须有一个数字证书，此证书用于标识特定开发者所开发的某款应用程序的一个版本。应用程序的数字证书主体放置在META-INF目录下，共包括MANIFEST.MF、CERT.SF和CERT.RSA三个文件，其中MANIFEST.MF文件包括对安装文件包中所有文件的SHA1摘要信息；CERT.SF文件包含对MANIFEST.MF文件进行整体SHA1的文件摘要信、MANIFEST.MF文件各个块的再次SHA1摘要信息；CERT.RSA包含以开发者私钥对CERT.SF文件的签名、开发者公钥以及加密算法相关信息。其制作流程如下：

(1) 递归遍历应用安装文件内的所有文件，使用SHA1消息摘要算法提取出该文件的摘要，然后使用BASE64编码，最后将编码后的摘要信息作为SHA1-Digest属性写入到MANIFEST.MF文件中，作为该文件的摘要信息，如图 所示：



图 MANIFEST.MF

(2) 计算MANIFEST.MF文件的整体SHA1值，经过BASE64编码后记录在CERT.SF文件主属性块的SHA1-Digest-Manifest属性值值下。然后，逐块计算MANIFEST.MF文件中每一个块的SHA1，并经过BASE64编码后，记录在CERT.SF中的同名块中，属性的名字是SHA1-Digest。注意，此时计算的单位是MANIFEST.MF的一个块，包括Name和SHA1-Digest两个属性，并且包括最后的回车符和换行符；

(3) 使用开发者的私钥对CERT.SF文件进行签名，连同主体信息、摘要算法信息和签名算法信息等相关数据一起写入CERT.RSA文件，完成制作流程。

(4)在Android APP中使用PackageInfo.signatures获得的签名是CERT.RSA文件中中间的部分，目测只包括签名信息，不包括主体信息、算法信息。