Android 數字簽名

時間 2019-11-24

原文原文鏈接

在Android系統中，全部安裝到系統的應用程序都必有一個數字證書，此數字證書用於標識應用程序的做者和在應用程序之間創建信任關係,若是一個permission的protectionLevel爲signature，那麼就只有那些跟該permission所在的程序擁有同一個數字證書的應用程序才能取得該權限。Android使用Java的數字證書相關的機制來給apk加蓋數字證書，要理解android的數字證書，須要先了解如下數字證書的概念和java的數字證書機制。Android系統要求每個安裝進系統的應用程序都是通過數字證書籤名的，數字證書的私鑰則保存在程序開發者的手中。Android將數字證書用來標識應用程序的做者和在應用程序之間創建信任關係，不是用來決定最終用戶能夠安裝哪些應用程序。這個數字證書並不須要權威的數字證書籤名機構認證，它只是用來讓應用程序包自我認證的。 php

同一個開發者的多個程序儘量使用同一個數字證書，這能夠帶來如下好處。 html

(1)有利於程序升級，當新版程序和舊版程序的數字證書相同時，Android系統纔會認爲這兩個程序是同一個程序的不一樣版本。若是新版程序和舊版程序的數字證書不相同，則Android系統認爲他們是不一樣的程序，併產生衝突，會要求新程序更改包名。 java

(2)有利於程序的模塊化設計和開發。Android系統容許擁有同一個數字簽名的程序運行在一個進程中，Android程序會將他們視爲同一個程序。因此開發者能夠將本身的程序分模塊開發，而用戶只須要在須要的時候下載適當的模塊。 android

(3)能夠經過權限(permission)的方式在多個程序間共享數據和代碼。Android提供了基於數字證書的權限賦予機制，應用程序能夠和其餘的程序共享概功能或者數據給那那些與本身擁有相同數字證書的程序。若是某個權限(permission)的protectionLevel是signature，則這個權限就只能授予那些跟該權限所在的包擁有同一個數字證書的程序。算法

在簽名時，須要考慮數字證書的有效期： app

(1)數字證書的有效期要包含程序的預計生命週期，一旦數字證書失效，持有改數字證書的程序將不能正常升級。 ide

(2)若是多個程序使用同一個數字證書，則該數字證書的有效期要包含全部程序的預計生命週期。模塊化

(3)Android Market強制要求全部應用程序數字證書的有效期要持續到2033年10月22日之後。工具

Android數字證書包含如下幾個要點： 開發工具

(1)全部的應用程序都必須有數字證書，Android系統不會安裝一個沒有數字證書的應用程序

(2)Android程序包使用的數字證書能夠是自簽名的，不須要一個權威的數字證書機構簽名認證

(3)若是要正式發佈一個Android ，必須使用一個合適的私鑰生成的數字證書來給程序簽名，而不能使用adt插件或者ant工具生成的調試證書來發布。

(4)數字證書都是有有效期的，Android只是在應用程序安裝的時候纔會檢查證書的有效期。若是程序已經安裝在系統中，即便證書過時也不會影響程序的正常功能。

(5)Android使用標準的java工具 Keytool and Jarsigner 來生成數字證書，並給應用程序包簽名。

（6）使用zipalign優化程序。

Android系統不會安裝運行任何一款未經數字簽名的apk程序，不管是在模擬器上仍是在實際的物理設備上。Android的開發工具(ADT插件和Ant)均可以協助開發者給apk程序簽名，它們都有兩種模式：調試模式(debug mode)和發佈模式(release mode)。

在調試模式下，android的開發工具會在每次編譯時使用調試用的數字證書給程序簽名，開發者無須關心。

當要發佈程序時，開發者就須要使用本身的數字證書給apk包簽名，能夠有兩種方法。

(1)在命令行下使用JDK中的和Keytool(用於生成數字證書)和Jarsigner(用於使用數字證書籤名)來給apk包簽名。

(2)使用ADT Export Wizard進行簽名(若是沒有數字證書可能須要生成數字證書)。

使用Keytool和Jarsigner給程序簽名

命令：keytool -genkey -v -keystore android.keystore -alias android -keyalg RSA -validity 20000

該命令中，-keystore ophone.keystore 表示生成的證書，能夠加上路徑（默認在用戶主目錄下）；-alias ophone 表示證書的別名是ophone；-keyalg RSA 表示採用的RSA算法；-validity 20000表示證書的有效期是20000天。

此時，咱們會在互用主目錄下看到ophone.keystore，即咱們剛剛建立的證書。

接着對程序進行簽名：

jarsigner用法： [選項] jar 文件別名
jarsigner -verify [選項] jar 文件

執行：jarsigner -verbose -keystore android.keystore -signedjar android123_signed.apk android123.apk android 就能夠生成簽名的apk文件，這裏輸入文件android123.apk，最終生成android123_signed.apk爲Android簽名後的APK執行文件。下面提示輸入的密碼和keytool輸入的同樣就好了。（不過在個人JDK目錄下沒有找到jarsigner這個程序，不知道是怎麼回事）

使用ADT Export Wizard進行簽名

應用程序（apk）簽名,在EC中，右鍵單擊應用程序工程，如圖選擇

選擇證書的存放路徑，填寫相關資料，完成，便可生成被簽名的apk文件。以下圖所示：

如上圖所示，咱們能夠看到也能夠在這裏選擇」Create new keystore「來建立一個證書。輸入密碼，點擊下一步，填寫相關信息，以下圖所示。

使用zipalign優化APK

根據官方文檔的描述，Android系統中Application的數據都保存在它的APK文件中，同時能夠被多個進程訪問，安裝的過程包括以下幾個步驟：

Installer經過每一個apk的manifest文件獲取與當前應用程序相關聯的permissions信息
Home application讀取當前APK的Name和Icon等信息。
System server將讀取一些與Application運行相關信息，例如：獲取和處理Application的notifications請求等。
最後，APK所包含的內容不只限於當前Application所使用，並且能夠被其它的Application調用，提升系統資源的可複用性。

zipalign優化的最根本目的是幫助操做系統更高效率的根據請求索引資源，將resource-handling code統一將Data structure alignment（數據結構對齊標準:DSA）限定爲4-byte boundaries。若是不採起對齊的標準，處理器沒法準確和快速的在內存地址中定位相關資源。目前的系統中使用fallback mechanism機制處理那些沒有應用DSA標準的應用程序，這的確大大的方便了普通開發者無需關注繁瑣的內存操做問題。可是相反，對於這樣的應用程序將給普通用戶帶來必定的麻煩，不但影響程序的運行的效率，並且使系統的總體執行效率降低和佔用大量沒必要要的內存資源，甚至消耗必定的電池資源 (battery life)。

命令行方式手動優化：

利用tools文件夾下的zipalign工具。首先調出cmd命令行，而後執行:zipalign -v 4 source.apk androidres.apk。這個方法不受API Level的限制，能夠對任何版本的APK執行Align優化。
同時能夠利用zipalign工具檢查當前APK是否已經執行過Align優化。命令：zipalign -c -v 4 androidres.apk

使用ADT自動優化:

從 ADT 0.9.3版本開始，能夠經過export wizard自動對發佈的application packages執行align操做。設置方法：鼠標右鍵點擊Project，而後選擇」Android Tools」 > 「Export Signed Application Package…」。

綜上所述，可使用Keytool、Jarsigner、zipalign 給程序簽名並優化程序，這樣就須要三個不一樣的工具：

keytool -genkey -v -keystore android.keystore -alias android -keyalg RSA -validity 20000

jarsigner -verbose -keystore android.keystore -signedjar android123_signed.apk android123.apk android

zipalign -v 4 android123_signed.apk android123_signed_aligned.apk

固然，也能夠經過ADT插件中Export Signed Application Package…來執行，圖形界面更爲簡單、形象、直觀。

參考：blog.csdn.net/zgfee/archive/2009/11/11/4796831.aspx

Android SDK：androidappdocs.appspot.com/guide/publishing/app-signing.html

android123.com.cn/androidkaifa/173.html

yarin.javaeye.com/blog/549280

androidres.com/index.php/2009/10/18/use-zipalign-to-optimize-your-application-packages/