android 签名
2016-05-24 11:40
489 查看
在Android中,一般来说有两个地方使用加密签名。
1.每个.apk文件必须进行签名。Android的程序包管理器通过两种方式使用签名:
当一个应用程序被替换时,只有相同签名的应用才能操作旧版本的数据。两个应用如果签名一致,那么这两个应用可以共享User ID和用户数据。
2.OTA更新包必须进行签名否则更新程序无法进行安装。(注!我们制作更新包的时候如果不指定key,系统会指定默认的key进行签名,如testkey。)
证书和秘钥
每个秘钥需要两个文件:扩展名为.x509.pem的证书(公钥)和扩展名为.pk8私钥。私钥是用来对包进行签名的,不可公开,而且有必要使用一定策略的密码进行保护,仅仅是让最终发布版本的人知道密码即可。而证书(公钥)相对来说要求并没有那么严格,它通常被用来验证一个包是否进行过密钥签名。标准的Android通常使用下面4个秘钥,它们位于build/target/product/security目录下:
testkey
默认生成的更新包秘钥,如果我们在制作更新包时没有指定响应的秘钥,系统会默认使用testkey进行签名。
platform
平台使用的测试秘钥
shared
联系人等共享测试秘钥
media
部分多媒体、下载系统等程序包所使用的测试秘钥
我们可以在我们的.mk文件中通过设置LOCAL_CERTIFICATE来为我们的安装包指定秘钥(如果没有指定有效的key,系统会默认使用testkey)。
Device/yoyodyne/apps/SpecialApp/Android.mk
[...]
LOCAL_CERTIFICATE := device/yoyodyne/security/special
通过上面的配置,编译系统就会使用device/yoyodyne/security/special.{.509.pem,pk8}来为我们的应用进行签名。编译系统只能是用没有密码保护的私钥。
生成秘钥
我们可以使用openssl工具来生成我们的秘钥(公钥和私钥),openssl工具下载地址:http://www.openssl.org/# generate RSA key
% openssl genrsa -3 -out temp.pem 2048
Generating RSA private key, 2048 bit long modulus
....+++
.....................+++
e is 3 (0x3)
# create a certificate with the public part of the key
% openssl req -new -x509 -key temp.pem -out releasekey.x509.pem \
-days 10000 \
-subj '/C=US/ST=California/L=San Narciso/O=Yoyodyne, Inc./OU=Yoyodyne Mobility/CN=Yoyodyne/emailAddress=yoyodyne@example.com'
# create a PKCS#8-formatted version of the private key
% openssl pkcs8 -in temp.pem -topk8 -outform DER -out releasekey.pk8 -nocrypt
# securely delete the temp.pem file
% shred --remove temp.pem
Openssl的pkcs8命令会生成一个没有密码保护的.pk8文件,这种方式适用于编译系统。如果想生成一个带有密码保护的.pk8文件,我们可以使用-passout stdin参数代替nocrypt参数即可。具体可参考http://www.openssl.org/docs/apps/openssl.html#PASS_PHRASE_ARGUMENTS。
签名APP
我们可以使用sign_target_files_apks脚本来对.apk文件进行签名。当我们运行该脚本时,我们需要在命令行中使用”-k src_key=dest_key来指定相应的key。我们也可以使用-d dir来制定一个目录用来替换编译系统所使用的build/target/product/security目录,这就相当于下面这种用法:[plain] view
plain copy
print?
![](https://oscdn.geek-share.com/Uploads/Images/Content/201611/a7c8e286f463007e2a900848b93dd72c.png)
build/target/product/security/testkey = dir/releasekey
build/target/product/security/platform = dir/platform
build/target/product/security/shared = dir/shared
build/target/product/security/media = dir/media
例如在tardis项目中,使用了5个具有密码保护的秘钥:4个用来替换build/target/product/security,一个用来替换上面提到的keydevice/yoyodyne/security/special,如下:
[plain] view
plain copy
print?
![](https://oscdn.geek-share.com/Uploads/Images/Content/201611/a7c8e286f463007e2a900848b93dd72c.png)
vendor/yoyodyne/security/tardis/releasekey.x509.pem
vendor/yoyodyne/security/tardis/releasekey.pk8
vendor/yoyodyne/security/tardis/platform.x509.pem
vendor/yoyodyne/security/tardis/platform.pk8
vendor/yoyodyne/security/tardis/shared.x509.pem
vendor/yoyodyne/security/tardis/shared.pk8
vendor/yoyodyne/security/tardis/media.x509.pem
vendor/yoyodyne/security/tardis/media.pk8
vendor/yoyodyne/security/special.x509.pem
vendor/yoyodyne/security/special.pk8 # NOT password protected
vendor/yoyodyne/security/special-release.x509.pem
vendor/yoyodyne/security/special-release.pk8 # password protected
然后我们可以像下面的例子中描述的一样对所有的应用进行签名:
[plain] view
plain copy
print?
![](https://oscdn.geek-share.com/Uploads/Images/Content/201611/a7c8e286f463007e2a900848b93dd72c.png)
% ./build/tools/releasetools/sign_target_files_apks \
-d vendor/yoyodyne/security/tardis \
-k vendor/yoyodyne/special=vendor/yoyodyne/special-release \
-o \ # explained in the next section
tardis-target_files.zip signed-tardis-target_files.zip
Enter password for vendor/yoyodyne/security/special-release key>
Enter password for vendor/yoyodyne/security/tardis/media key>
Enter password for vendor/yoyodyne/security/tardis/platform key>
Enter password for vendor/yoyodyne/security/tardis/releasekey key>
Enter password for vendor/yoyodyne/security/tardis/shared key>
signing: Phone.apk (vendor/yoyodyne/security/tardis/platform)
signing: Camera.apk (vendor/yoyodyne/security/tardis/media)
signing: Special.apk (vendor/yoyodyne/security/special-release)
signing: Email.apk (vendor/yoyodyne/security/tardis/releasekey)
[...]
signing: ContactsProvider.apk (vendor/yoyodyne/security/tardis/shared)
signing: Launcher.apk (vendor/yoyodyne/security/tardis/shared)
rewriting SYSTEM/build.prop:
replace: ro.build.description=tardis-user Eclair ERC91 15449 test-keys
with: ro.build.description=tardis-user Eclair ERC91 15449 release-keys
replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
signing: framework-res.apk (vendor/yoyodyne/security/tardis/platform)
rewriting RECOVERY/RAMDISK/default.prop:
replace: ro.build.description=tardis-user Eclair ERC91 15449 test-keys
with: ro.build.description=tardis-user Eclair ERC91 15449 release-keys
replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
using:
vendor/yoyodyne/security/tardis/releasekey.x509.pem
for OTA package verification
done.
签名OTA包
签名OTA包的流程主要有下面这些:1.准备好build时所要使用的签名文件
2.对准备创建的ota包进行签名
具体命令如下:
[plain] view
plain copy
print?
![](https://oscdn.geek-share.com/Uploads/Images/Content/201611/a7c8e286f463007e2a900848b93dd72c.png)
% ./build/tools/releasetools/ota_from_target_files \
-k vendor/yoyodyne/security/tardis/releasekey \
signed-tardis-target_files.zip \
signed-ota_update.zip
unzipping target target-files...
(using device-specific extensions from target_files)
Enter password for vendor/yoyodyne/security/tardis/releasekey key>
done.
签名与侧面安装机制
侧面安装机制并不能绕开安装包签名机制而进行。在安装更新前,recovery会对更新包的签名进行验证,它会验证OTA包签名的私钥是否和recovery分区存放的公钥相符。对更新包签名的验证通常会有两次,一次是android系统使用Android API中的RecoverySystem.verifyPackage()方法进行验证,一种是recovery系统的验证。RecoverySystem API会检查存储在Android系统中的公钥是否与/system/etc/security/otacerts.zip(默认情况下)。而recovery 系统会验证存储在recovery 分区中的/res/keys中存储的公钥。
一般情况下,两个地方存储的公钥是相同的。在侧面安装机制中我们可以指定额外的key进行校验,通过下面的配置。
vendor/yoyodyne/tardis/products/tardis.mk
[plain] view
plain copy
print?
![](https://oscdn.geek-share.com/Uploads/Images/Content/201611/a7c8e286f463007e2a900848b93dd72c.png)
[...]
PRODUCT_EXTRA_RECOVERY_KEYS := vendor/yoyodyne/security/tardis/sideload
相关文章推荐
- 使用C++实现JNI接口需要注意的事项
- Android IPC进程间通讯机制
- Android Manifest 用法
- [转载]Activity中ConfigChanges属性的用法
- Android之获取手机上的图片和视频缩略图thumbnails
- Android之使用Http协议实现文件上传功能
- Android学习笔记(二九):嵌入浏览器
- android string.xml文件中的整型和string型代替
- i-jetty环境搭配与编译
- android之定时器AlarmManager
- android wifi 无线调试
- Android Native 绘图方法
- Android java 与 javascript互访(相互调用)的方法例子
- android 代码实现控件之间的间距
- android FragmentPagerAdapter的“标准”配置
- Android"解决"onTouch和onClick的冲突问题
- android:installLocation简析
- android searchView的关闭事件
- SourceProvider.getJniDirectories