android 签名

在Android中，一般来说有两个地方使用加密签名。

1.每个.apk文件必须进行签名。Android的程序包管理器通过两种方式使用签名：

    当一个应用程序被替换时，只有相同签名的应用才能操作旧版本的数据。
    两个应用如果签名一致，那么这两个应用可以共享User ID和用户数据。

2.OTA更新包必须进行签名否则更新程序无法进行安装。（注！我们制作更新包的时候如果不指定key，系统会指定默认的key进行签名，如testkey。）

 

证书和秘钥

    每个秘钥需要两个文件：扩展名为.x509.pem的证书（公钥）和扩展名为.pk8私钥。私钥是用来对包进行签名的，不可公开，而且有必要使用一定策略的密码进行保护，仅仅是让最终发布版本的人知道密码即可。而证书（公钥）相对来说要求并没有那么严格，它通常被用来验证一个包是否进行过密钥签名。

    标准的Android通常使用下面4个秘钥，它们位于build/target/product/security目录下：

testkey

    默认生成的更新包秘钥，如果我们在制作更新包时没有指定响应的秘钥，系统会默认使用testkey进行签名。

platform

    平台使用的测试秘钥

shared

    联系人等共享测试秘钥

media

    部分多媒体、下载系统等程序包所使用的测试秘钥

 

    我们可以在我们的.mk文件中通过设置LOCAL_CERTIFICATE来为我们的安装包指定秘钥（如果没有指定有效的key，系统会默认使用testkey）。

Device/yoyodyne/apps/SpecialApp/Android.mk

 [...]

LOCAL_CERTIFICATE := device/yoyodyne/security/special

通过上面的配置，编译系统就会使用device/yoyodyne/security/special.{.509.pem,pk8}来为我们的应用进行签名。编译系统只能是用没有密码保护的私钥。

 

生成秘钥

我们可以使用openssl工具来生成我们的秘钥（公钥和私钥），openssl工具下载地址：http://www.openssl.org/

 

# generate RSA key
% openssl genrsa -3 -out temp.pem 2048
Generating RSA private key, 2048 bit long modulus
....+++
.....................+++

e is 3 (0x3)
# create a certificate with the public part of the key
% openssl req -new -x509 -key temp.pem -out releasekey.x509.pem \

  -days 10000 \

  -subj '/C=US/ST=California/L=San Narciso/O=Yoyodyne, Inc./OU=Yoyodyne Mobility/CN=Yoyodyne/emailAddress=yoyodyne@example.com'
# create a PKCS#8-formatted version of the private key
% openssl pkcs8 -in temp.pem -topk8 -outform DER -out releasekey.pk8 -nocrypt
# securely delete the temp.pem file
% shred --remove temp.pem

Openssl的pkcs8命令会生成一个没有密码保护的.pk8文件，这种方式适用于编译系统。如果想生成一个带有密码保护的.pk8文件，我们可以使用-passout stdin参数代替nocrypt参数即可。具体可参考http://www.openssl.org/docs/apps/openssl.html#PASS_PHRASE_ARGUMENTS。

签名APP

我们可以使用sign_target_files_apks脚本来对.apk文件进行签名。当我们运行该脚本时，我们需要在命令行中使用”-k src_key=dest_key来指定相应的key。我们也可以使用-d dir来制定一个目录用来替换编译系统所使用的build/target/product/security目录，这就相当于下面这种用法：

[plain] view
plain copy

 print?





build/target/product/security/testkey  = dir/releasekey  

build/target/product/security/platform = dir/platform  

build/target/product/security/shared   = dir/shared  

build/target/product/security/media    = dir/media  

例如在tardis项目中，使用了5个具有密码保护的秘钥：4个用来替换build/target/product/security，一个用来替换上面提到的keydevice/yoyodyne/security/special，如下：

[plain] view
plain copy

 print?





vendor/yoyodyne/security/tardis/releasekey.x509.pem  

vendor/yoyodyne/security/tardis/releasekey.pk8  

vendor/yoyodyne/security/tardis/platform.x509.pem  

vendor/yoyodyne/security/tardis/platform.pk8  

vendor/yoyodyne/security/tardis/shared.x509.pem  

vendor/yoyodyne/security/tardis/shared.pk8  

vendor/yoyodyne/security/tardis/media.x509.pem  

vendor/yoyodyne/security/tardis/media.pk8  

vendor/yoyodyne/security/special.x509.pem  

vendor/yoyodyne/security/special.pk8           # NOT password protected  

vendor/yoyodyne/security/special-release.x509.pem  

vendor/yoyodyne/security/special-release.pk8   # password protected  

然后我们可以像下面的例子中描述的一样对所有的应用进行签名：

[plain] view
plain copy

 print?





% ./build/tools/releasetools/sign_target_files_apks \  

    -d vendor/yoyodyne/security/tardis \  

    -k vendor/yoyodyne/special=vendor/yoyodyne/special-release \  

    -o \    # explained in the next section  

    tardis-target_files.zip signed-tardis-target_files.zip  

Enter password for vendor/yoyodyne/security/special-release key>  

Enter password for vendor/yoyodyne/security/tardis/media key>  

Enter password for vendor/yoyodyne/security/tardis/platform key>  

Enter password for vendor/yoyodyne/security/tardis/releasekey key>  

Enter password for vendor/yoyodyne/security/tardis/shared key>  

    signing: Phone.apk (vendor/yoyodyne/security/tardis/platform)  

    signing: Camera.apk (vendor/yoyodyne/security/tardis/media)  

    signing: Special.apk (vendor/yoyodyne/security/special-release)  

    signing: Email.apk (vendor/yoyodyne/security/tardis/releasekey)  

        [...]  

    signing: ContactsProvider.apk (vendor/yoyodyne/security/tardis/shared)  

    signing: Launcher.apk (vendor/yoyodyne/security/tardis/shared)  

rewriting SYSTEM/build.prop:  

  replace:  ro.build.description=tardis-user Eclair ERC91 15449 test-keys  

     with:  ro.build.description=tardis-user Eclair ERC91 15449 release-keys  

  replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys  

     with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys  

    signing: framework-res.apk (vendor/yoyodyne/security/tardis/platform)  

rewriting RECOVERY/RAMDISK/default.prop:  

  replace:  ro.build.description=tardis-user Eclair ERC91 15449 test-keys  

     with:  ro.build.description=tardis-user Eclair ERC91 15449 release-keys  

  replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys  

     with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys  

using:  

    vendor/yoyodyne/security/tardis/releasekey.x509.pem  

for OTA package verification  

done.  

签名OTA包

签名OTA包的流程主要有下面这些：

    1.准备好build时所要使用的签名文件

    2.对准备创建的ota包进行签名

具体命令如下：

[plain] view
plain copy

 print?





% ./build/tools/releasetools/ota_from_target_files \  

    -k vendor/yoyodyne/security/tardis/releasekey \  

    signed-tardis-target_files.zip \  

    signed-ota_update.zip  

unzipping target target-files...  

(using device-specific extensions from target_files)  

Enter password for vendor/yoyodyne/security/tardis/releasekey key>  

done.  

签名与侧面安装机制

    侧面安装机制并不能绕开安装包签名机制而进行。在安装更新前，recovery会对更新包的签名进行验证，它会验证OTA包签名的私钥是否和recovery分区存放的公钥相符。

    对更新包签名的验证通常会有两次，一次是android系统使用Android API中的RecoverySystem.verifyPackage()方法进行验证，一种是recovery系统的验证。RecoverySystem API会检查存储在Android系统中的公钥是否与/system/etc/security/otacerts.zip(默认情况下)。而recovery 系统会验证存储在recovery 分区中的/res/keys中存储的公钥。

    一般情况下，两个地方存储的公钥是相同的。在侧面安装机制中我们可以指定额外的key进行校验，通过下面的配置。

vendor/yoyodyne/tardis/products/tardis.mk

[plain] view
plain copy

 print?





[...]  

PRODUCT_EXTRA_RECOVERY_KEYS := vendor/yoyodyne/security/tardis/sideload