App 签名过期或泄露怎么办?别担心,Google 已经给出解决方案!
一、序
在将 App 发布到市场之前,很重要的一个步骤就是为 APK 进行签名,大部分时候,这个操作隐藏在了打包的流程中,而不被我们注意到。
签名的作用,除了证明 App 的所有权之外,还可以帮助 Android 市场和设备校验 APK 的正确性
Android 签名是自证明的,并不会对证书进行 CA 认证。也就是我们可以使用工具自行生成签名证书,只要是一个正确的签名,系统就会承认,并且允许安装。
生成签名的时,可以指定一个有效时间,这个时间默认为 25 年,并且 Google Play 也有硬性规定,上架的 App 签名有效期必须在 2033-10-22 日期之后。所以只要不是手欠修改了这个有效期,在当下这个时刻,是不会有问题,毕竟到现在还没有一款 App 存在 25 年。
有些问题不在眼前,却是真实存在的。对于一款上架的 App,最重要的就是用户,而当签名失效之后,我们只能被迫换签名,此时因为签名校验无法通过,就会导致旧用户无法覆盖安装。这些历史用户唯一的选择,就是卸载后重新安装。
好在这不仅仅是你我的问题,天塌下来有个子高的顶着,所以别担心,Google 已经着手在解决这个问题了。
方案就是 Android 9.0 新增的对 APK V3 签名的支持。
二、新的签名方案 V3
2.1 Android 的签名方案
Android 的签名方案,发展到现在,不是一蹴而就的。Android 现在已经支持三种应用签名方案:
- V1 方案:基于 JAR 签名。
- V2 方案:APK 签名方案 V2,在 Android 7.0 引入。
- V3 方案:APK 签名方案 V3,在 Android 9.0 引入。
V1 到 V2 是颠覆性的,为了解决 JAR 签名方案的安全性问题,而到了 V3 方案,其实结构上并没有太大的调整,可以理解为 V2 签名方案的升级版,有一些资料也把它称之为 V2+ 方案。
因为这种签名方案的升级,就是向下兼容的,所以只要使用得当,这个过程对开发者是透明的。
V1 到 V2 方案的升级,对开发者影响最大的,就是渠道签署的问题。在当下这个大环境下,我们想让不同渠道、市场的安装包有所区别,携带渠道的唯一标识,这就是我们俗称的渠道包。好在各大厂都开源了自己的签渠道方案,例如:Walle(美团)、VasDolly(腾讯)都是非常优秀的方案,想了解的可以先看看之前的文章:《Android 签名和多渠道打包原理》。
2.2 签名的历史
先从 Android 签名的历史讲起。
在上个世纪 80 年代,Phil Katz 创建了 ZIP 格式,可以将文件和一些元数组,组合在一个文件中,便于传输和存档,该格式是为了解决压缩、校验和冗余头等问题而提出的解决方案。
Sum 公司在上世纪 90 年代,将 ZIP 作为 JAR 格式的基础,而 JAR 本质上就是一个 ZIP 存档。在其中,META-INF 目录下会包含一些元数据和签名数据等信息。
Android 出现后,也沿用了 Java 的 JAR 的发布方式,将 APK 建立在 JAR 格式之上,在此基础上对 Dalvik 字节码 classes.dex 和资源 resources.arsc 等文件添加更多标准化的结构。当时 Android 的 APK 完全依赖 JAR 的签名方案来确保应用程序的正确性,这就是我们俗称的 V1 方案(JAR 方案)。
在 V1 签名方案中,并不会保护 APK 内的所有文件,会存在一些例外部分,即便被修改也不会导致签名失效,例如:ZIP 元数据。同时,V1 方案对 APK 内部被保护的原始文件,是单独进行计算数据摘要的,所以在验证时,需要先解压再验证,导致安装时会花费更多的时间,消耗更多的内存。例如 V1 方案中签渠道的方式就是利用了此特性,将渠道信息写入 META-INF 文件中,这不会破坏 V1 签名。
多年后,在 Android 7.0 中添加了一种新的签名方式,就是我们俗称的 V2 方案。V2 签名提供了更强大的 APK 文件验证,它不再检查包内单个文件,而是检查整个 APK。它在 ZIP 文件中,插入一个额外的签名块,覆盖 ZIP 文件中的其余部分。
在这个额外的签名块(Apk Signature Block V2)中,会对当前 APK 的其他部分签名。
从安全的角度 V2 会比 V1 更安全,V2 签名是验证整个打包后的 APK 文件,所以对其 APK 文件做“任何”改动都会破坏签名。注意这里的任何是带引号的,V2 签名的签名块其实是一个 K-V 的结构,可以向其中插入一些简单的数据而不破坏 V2 签名,这就是 V2 方案下,多渠道的方案思路。
在引入 V2 方案的同时,也保证了向后兼容,旧的 JAR 签名方案仍然在旧的设备(Android 7.0 以下)中生效,而在较新的设备上,也会判断是否使用 V2 签名,不是则依然会去校验 V1 签名。
V2 方案解决了安全问题以及安装时验证的效率问题,但是它并没有解决前面提到的换签名问题。
2.3 Android 的 V3 方案
Android 9.0 中引入了新的签名方式,它的格式大体和 V2 类似,在 V2 插入的签名块(Apk Signature Block V2)中,又添加了一个新快(Attr块)。
在这个新块中,会记录我们之前的签名信息以及新的签名信息,以密钥转轮的方案,来做签名的替换和升级。这意味着,只要旧签名证书在手,我们就可以通过它在新的 APK 文件中,更改签名。
V3 签名新增的新块(attr)存储了所有的签名信息,由更小的 Level 块,以链表的形式存储。
其中每个节点都包含用于为之前版本的应用签名的签名证书,最旧的签名证书对应根节点,系统会让每个节点中的证书为列表中下一个证书签名,从而为每个新密钥提供证据来证明它应该像旧密钥一样可信。
这个过程有点类似 CA 证书的证明过程,已安装的 App 的旧签名,确保覆盖安装的 APK 的新签名正确,将信任传递下去。
2.4 V3 签名的验证过程
Android 的签名方案,无论怎么升级,都是要确保向下兼容。
在引入 V3 方案后,Android 9.0 及更高版本中,可以根据 APK 签名方案,V3 → V2 → V1 依次尝试验证 APK。而较旧的平台会忽略 V3 签名并尝试 V2 签名,最后才去验证 V1 签名。
整个验证的过程,如下图:
需要注意的是,对于覆盖安装的情况,签名校验只支持升级,而不支持降级。也就是说设备上安装了一个使用 V1 签名的 Apk,可以使用 V2 签名的 Apk 进行覆盖安装,反之则不允许。
三、总结时刻
Android 签名替换的问题,Google 已经在考虑了,9.0 新增的 V3 签名方案就是为了解决签名替换的。这些,肯定都是提前准备。
签名过期的问题,不需要太担心,我们只需要跟着 Google 的步伐就可以了。
最后小结一下结论,签名过期的问题,在 Android 9.0 上新支持的 V3 签名,已经有解决的方案了。另外:
- V1 签名遵循 JAR 的签名方式,单独验证 APK 压缩包中的文件。
- V2 签名是针对 APK 文件的验证,将签名信息写入签名块中,增强了安全性和验证效率。
- V3 签名在签名块中又增加了新块(attr),由更小的 level 块,以链表的形式存储多个证书。
- 在 V3 方案中,最旧的证书为新块链表的根节点,以此对新证书签名,确保新证书正确有效。
V3 方案还没有正式开放,在最新版的 Build Tools 版本 28.0.3 中的 Apksigner,尚不支持 V3 的 APK 签名方案。想尝鲜可以通过源代码自行编译。
从现有的资料来看,我比较关心的多渠道打包的支持方案,在升级到 V3 之后,旧的 V2 支持的多渠道方案应该依然有效(或者少量改动)。
期待上线后的具体效果。
你对 V3 签名有什么想法或者疑问,欢迎在留言区讨论。如若本文对你有所帮助,欢迎留言、转发、点赞。
reference:
Android APK signature scheme V3
公众号后台回复成长『成长』,将会得到我准备的学习资料,也能回复『加群』,一起学习进步;你还能回复『提问』,向我发起提问。
App 签名过期或泄露怎么办?别担心,Google 已经给出解决方案!的更多相关文章
- iOS App签名的原理
前言 相信很多同学对于iOS的真机调试,App的打包发布等过程中的各种证书.Provisioning Profile. CertificateSigningRequest.p12的概念是模糊的,导致在 ...
- 【腾讯Bugly干货分享】iOS App 签名的原理
本文来自 WeRead 团队博客: http://wereadteam.github.io/ iOS 签名机制挺复杂,各种证书,Provisioning Profile,entitlements,Ce ...
- iOS app签名原理
基本原理: 公钥能够验证私钥的签名是否正确. Apple后台有一个私钥A,iOS内置一个公钥A,与私钥A对应.(A:代表Apple,即苹果) 本地产生一对公钥L.私钥L,(L:代表Local,即本地) ...
- Apple App签名机制
概览 数字签名 签名机制与验证过程 操作流程 数字签名 摘要算法 将任意长度文本通过一个算法得到一个固定长度的文本. 源文本不同,计算结果必然不同 无法从结果反推源 例如,MD5和SHA算法 非对称加 ...
- 控制游戏/app使用期限/过期,证书有效期,弹出公告支持离线使用/后端控制,支持Swift、Objective-C集成非常简单,永久免费框架
CertCheck.framework (for iOS) 只能运行于真机上,切勿在模拟器上使用 这是一个控制游戏/app使用期限(到设定的时间无法打开app),或发布弹出公告永久免费的框架,可以全版 ...
- 安卓和ios的app证书过期的相关问题汇总
一,ios的APP的发布流程请见:ios的APP的发布流程 http://www.jianshu.com/p/b1b77d804254 这篇文章写得很好很全面 二,app证书过期了怎么办: IOS的情 ...
- XE6 & IOS开发之免证书真机调试(1):颁发属于自己的App签名证书(有图有真相)
网上能找到的关于Delphi XE系列的移动开发的相关文章甚少,本文尽量以详细的图文内容.傻瓜式的表达来告诉你想要的答案. 原创作品,请尊重作者劳动成果,转载请注明出处!!! 1.自己给自己颁发证书, ...
- 为App签名(为apk签名)
为App签名(为apk签名) 原文地址 这篇文章是Android开发人员的必备知识,是我特别为大家整理和总结的,不求完美,但是有用. 1.签名的意义 为了保证每个应用程序开发商合法ID,防止部分开放商 ...
- 【Android Studio安装部署系列】四十二、Android Studio使用Eclipse中的keystore为App签名
版权声明:本文为HaiyuKing原创文章,转载请注明出处! 概述 从eclipse迁移到AndroidStudio,要用原Eclipse的签名文件,这样才能保证转到AndroidStudio后更新的 ...
随机推荐
- pthread_create()创建线程时传入多个參数
因为接口仅仅定义了一个入參void *arg int pthread_create(pthread_t *tidp,const pthread_attr_t *attr, (void*)(*start ...
- 【opencv】opencv在vs下的配置(持续更新)
经常使用配置记录,会更新下去. 1.去掉ipch及.sdf文件 opencv在vs编译会得到很多文件.当中.dsf和ipch文件就有几十M.总是非常占空间,而这都是用来保存C++预编译的头文件和Int ...
- isual Studio 2013编译ImageMagick---转
“该文引用自 CruiseYoung的:Visual Studio 2013编译ImageMagick http://blog.csdn.net/fksec/article/details/36008 ...
- DB-MySQL:MySQL GROUP BY
ylbtech-DB-MySQL:MySQL GROUP BY 1.返回顶部 1. MySQL GROUP BY 语句 GROUP BY 语句根据一个或多个列对结果集进行分组. 在分组的列上我们可以使 ...
- jqueryui slider
<!doctype html><html lang="en"><head> <meta charset="utf-8" ...
- Spring框架知识梳理(一) IOC
1 写在前面 Spring框架是在大一的时候学习的,但是经过几个项目下来发现自己只不过会用某些常用的东西,对于Spring家族,虽然现在大都使用Spring Boot开发,但是我发现Spring框架的 ...
- 4.vim操作
你想以最快的速度学习人类史上最好的文本编辑器VIM吗?你先得懂得如何在VIM幸存下来,然后一点一点地学习各种戏法. 我建议下面这四个步骤: 存活 感觉良好 觉得更好,更强,更快 使用VIM的超能力 当 ...
- 23.QFile遍历
#include "mainwindow.h" #include <QApplication> #include <QDebug> #include < ...
- SQL学习——小结练习(1)
到处淘来的SQL题 1. 用一条SQL 语句 查询出每门课都大于80 分的学生姓名 name kecheng fenshu 张三 语文 81张三 数学 ...
- hdu 1394 Minimum Inversion Number 【线段树求逆序数】
之前写过树状数组的,再用线段树写一下--- #include<cstdio> #include<cstring> #include<iostream> #inclu ...