FILE="yourapp.apk" cert_XSA=`jar tf $FILE | grep SA`
jar xf $FILE $cert_XSA
keytool -printcert -file $cert_XSA | grep MD5 > "$FILE.certMD5"
FILE1="yourapp1.apk" FILE2="yourapp2.apk" # ... # ... 通過上述步驟獲得$FILE1.certMD5和$FILE2.certMD5 # ... certMD5_diff=`diff $FILE1.certMD5 $FILE2.certMD5` if [ "$certMD5_diff" = "" ]; then echo "$FILE1.certMD5 == $FILE2.certMD5" fi
APK承襲JAVA,證書RSA文件生成方式與JAVA同源,獲取APK證書MD5思路:html
使用該工具準備條件(2選1便可):java
爲確保運行,可添加到環境變量或者在cmd窗口中中cd到對應路徑執行。keytool命令對應文件keytool.exe的目錄通常爲C:\Program Files\Java\jre7\bin\keytool.exeandroid
具體步驟git
APK以zip文件方式打開,在\META-INF\目錄中存在一個.RSA後綴的文件,通常名爲CERT.RSAgithub
運行以下keytool命令便可:web
keytool -printcert -file CERT.RSA
場景:你想把一組二進制數據表示爲一組可見字符,這樣在某些場合更加利於傳輸,好比在郵件中傳輸。算法
算法:http://zh.wikipedia.org/wiki/Base64數據庫
場景:你想對一組二進制數據進行加密。好比你想保護你的數據不被別人竊取,即便別人有你加密後的二進制數據,但若是沒有密碼,他仍舊不能解開。安全
算法:服務器
DES:http://zh.wikipedia.org/wiki/DES
RSA:http://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95
區別:DES是對稱的加密,也就是說加密和解密的用的是同一個密鑰。RSA用的是非對稱加密,加密用public key,解密用private key。
討論:
DES如今能夠被暴力破解,如今通常用AES來替代DES加密。
因爲RSA是非對稱加密,換個說法就是能夠用私鑰加密,用惟一對應的公鑰解密。但這不是公鑰加密(public cryptography)的工做方式。具體參見:
所謂的用私鑰加密的真正方式是數字簽名。也就是你對一個二進制流用私鑰進行簽名。在接受端會用公鑰來驗證你的簽名。從而能夠知道來源的真實性和抗抵賴。具體的C#實例能夠參考:https://gist.github.com/3991414
場景:你有一組二進制數據,你爲了保證這組二進制數據的完整性,你想爲這組二進制數據生成惟一的數字簽名。
算法:
SHA1:http://zh.wikipedia.org/wiki/SHA1
MD5: http://zh.wikipedia.org/wiki/MD5
咱們已經知道的是:Android對每個Apk文件都會進行簽名,在Apk文件安裝時,系統會對其簽名信息進行比對,判斷程序的完整性,從而決定該Apk文件是否能夠安裝,在必定程度上達到安全的目的。
給定一個Apk文件,解壓,能夠看到一個META-INFO文件夾,在該文件夾下有三個文件:分別爲MANIFEST.MF、CERT.SF和CERT.RSA。這三個文件分別表徵如下含義:
(1)MANIFEST.MF:這是摘要文件。程序遍歷Apk包中的全部文件(entry),對非文件夾非簽名文件的文件,逐個用SHA1生成摘要信息,再用Base64進行編碼。若是你改變了apk包中的文件,那麼在apk安裝校驗時,改變後的文件摘要信息與MANIFEST.MF的檢驗信息不一樣,因而程序就不能成功安裝。
說明:若是攻擊者修改了程序的內容,有從新生成了新的摘要,那麼就能夠經過驗證,因此這是一個很是簡單的驗證。
(2)CERT.SF:這是對摘要的簽名文件。對前一步生成的MANIFEST.MF,使用SHA1-RSA算法,用開發者的私鑰進行簽名。在安裝時只能使用公鑰才能解密它。解密以後,將它與未加密的摘要信息(即,MANIFEST.MF文件)進行對比,若是相符,則代表內容沒有被異常修改。
說明:在這一步,即便開發者修改了程序內容,並生成了新的摘要文件,可是攻擊者沒有開發者的私鑰,因此不能生成正確的簽名文件(CERT.SF)。系統在對程序進行驗證的時候,用開發者公鑰對不正確的簽名文件進行解密,獲得的結果和摘要文件(MANIFEST.MF)對應不起來,因此不能經過檢驗,不能成功安裝文件。
(3)CERT.RSA文件中保存了公鑰、所採用的加密算法等信息。
說明:系統對簽名文件進行解密,所須要的公鑰就是從這個文件裏取出來的。
結論:從上面的總結能夠看出,META-INFO裏面的說那個文件環環相扣,從而保證Android程序的安全性。(只是防止開發者的程序不被攻擊者修改,若是開發者的公私鑰對對攻擊者獲得或者開發者開發出攻擊程序,Android系統都沒法檢測出來。)
參考文章:http://www.blogjava.net/zh-weir/archive/2011/07/19/354663.html
對App進行簽名的方式通常有如下幾種:經過Google提供的簽名工具,經過某些開發者開發的簽名工具或者經過Eclipse提供的簽名方法,但通常而言,他們都是在下層調用Google提供的簽名工具,因此簽名的方法都相同。
例如,在Eclipse下面配置簽名信息時,能夠設置開發者信息:
具體參考文章:http://blog.csdn.net/zuolongsnail/article/details/6444197(上圖來源於該文章)
說明:從上圖能夠看出,在Eclipse中,能夠設置開發者的詳細信息。在其餘的簽名工具中,可能會直接調用其餘簽名信息。
值得注意的是,在設置簽名信息的時候,會有以下圖所示的步驟:
請暫且記住這裏有認證指紋信息:MD5和SHA1。因爲這一步驟是在編譯生成Apk文件以前進行的,因此,說明這裏的MD5和SHA1與程序的內容毫無關係,只與開發者的公私鑰對等開發信息有關。
咱們本身設置簽名信息以後開發程序並簽名,獲得的簽名信息通過keytool.exe解析結果以下:
說明:由上圖能夠發現,解析結果中的MD5和SHA1與上面獲得的MD5,SHA1是相同的。
咱們有一個疑問,許多互聯網大公司會開發許多官方的移動應用,那麼這些應用的簽名信息是否相同呢,他們所用的公私鑰對是否都是同樣的?咱們對Tencent公司的QQ,QQ空間,微信三款產品進行解析,獲得下面的結果和結論。
使用Java提供的keytool.exe工具對三款產品的簽名狀況(CERT.RSA文件)進行解析,狀況以下所示。
微信:
QQ:
QQ空間:
說明:從上面的三幅圖能夠看出,雖然同爲Tencent的三款產品,可是他們的全部者信息、簽發人信息等都不盡相同,儘管他們都表示了騰訊公司或者Tencent等信息。由於這是開發者本身設置的,並且微信和QQ屬於不一樣的事業部,辦公地點不一樣,因此他們的簽名信息不一樣也就不足爲奇了。
本身寫程序從CERT.RSA提取出公鑰信息和證書中的簽名信息(對開發者信息的簽名,例如姓名,公司,國家等。。。),狀況以下:
因爲都是一些字符,且不少,因此只取開始和結束的幾位比特作一說明:
微信:
公鑰:c05f........5e9f
簽名:3082....1949
QQ:
公鑰:a15e........3695
簽名:3082........2049
QQ空間:
公鑰:82d...........445
簽名:3082........1677
說明:因爲三款App的開發者設置的簽名信息幾乎不一樣,使用的公私鑰對都不一樣,因此這裏取出來的公鑰和簽名信息幾乎不一樣。惟一相同的是三款App的簽名的開始一些比特,多是由於有的信息相同,具體不得而知。
爲了說明這個問題,咱們對QQ的兩個版本作了檢測,狀況以下:
QQ4.7.0:
公鑰:a15e........3695
簽名:3082........2049
QQ4.6.2:
公鑰:a15e........3695
簽名:3082........2049
說明:QQ的兩個不一樣版本,從CERT.RSA文件中取出的公鑰和簽名信息,徹底相同。說明QQ開發團隊始終使用的是一個相同的公私鑰對。固然,他們對於不一樣的版本使用不一樣的公私鑰對也是能夠的,也是可能的。這種可能性發生在他們主動更改公私鑰對的狀況下,也可能發生在他們用不一樣的環境進行簽名的狀況下。
咱們把CERT.SF的文件名改爲CERT1.SF,把CERT.RSA的文件名改爲CERT1.RSA,原來的Apk文件能夠被成功安裝。
說明:Android系統在檢測的時候,不會必定要找到CERT這種文件名,是按照文件類型來檢測的。可是,若是.RSA文件與.SF文件的名字不一樣,那麼就不能成功安裝。
說明:在(1)的基礎上,咱們執行(2)操做,不能成功安裝,這是由於Android系統找不到摘要文件與(2)中添加上的兩個文件進行對應。
用Eclipse簽名的Apk文件,解析CERT.RSA文件以後獲得的結果以下:
用Dodo Apktools簽名後的Apk文件解析以後結果以下:
說明:用Dodo簽名的解析文件多了後面的擴展部分,但整體內容不變。
豌豆莢推出的洗白白功能很受歡迎,那麼他們是如何辨別App的是不是官方出品的呢?
根據蒐集到的資料,他們CEO說是這樣實現的:將商店裏的App與官網上的App簽名作對比。