App 签名过期或泄露怎么办?别担心,Google 已经给出解决方案!
一、序
在将 App 发布到市场之前,很重要的一个步骤就是为 APK 进行签名,大部分时候,这个操作隐藏在了打包的流程中,而不被我们注意到。
签名的作用,除了证明 App 的所有权之外,还可以帮助 Android 市场和设备校验 APK 的正确性
Android 签名是自证明的,并不会对证书进行 CA 认证。也就是我们可以使用工具自行生成签名证书,只要是一个正确的签名,系统就会承认,并且允许安装。
生成签名的时,可以指定一个有效时间,这个时间默认为 25 年,并且 Google Play 也有硬性规定,上架的 App 签名有效期必须在 2033-10-22 日期之后。所以只要不是手欠修改了这个有效期,在当下这个时刻,是不会有问题,毕竟到现在还没有一款 App 存在 25 年。
有些问题不在眼前,却是真实存在的。对于一款上架的 App,最重要的就是用户,而当签名失效之后,我们只能被迫换签名,此时因为签名校验无法通过,就会导致旧用户无法覆盖安装。这些历史用户唯一的选择,就是卸载后重新安装。
好在这不仅仅是你我的问题,天塌下来有个子高的顶着,所以别担心,Google 已经着手在解决这个问题了。
方案就是 Android 9.0 新增的对 APK V3 签名的支持。
二、新的签名方案 V3
2.1 Android 的签名方案
Android 的签名方案,发展到现在,不是一蹴而就的。Android 现在已经支持三种应用签名方案:
- V1 方案:基于 JAR 签名。
- V2 方案:APK 签名方案 V2,在 Android 7.0 引入。
- V3 方案:APK 签名方案 V3,在 Android 9.0 引入。
V1 到 V2 是颠覆性的,为了解决 JAR 签名方案的安全性问题,而到了 V3 方案,其实结构上并没有太大的调整,可以理解为 V2 签名方案的升级版,有一些资料也把它称之为 V2+ 方案。
因为这种签名方案的升级,就是向下兼容的,所以只要使用得当,这个过程对开发者是透明的。
V1 到 V2 方案的升级,对开发者影响最大的,就是渠道签署的问题。在当下这个大环境下,我们想让不同渠道、市场的安装包有所区别,携带渠道的唯一标识,这就是我们俗称的渠道包。好在各大厂都开源了自己的签渠道方案,例如:Walle(美团)、VasDolly(腾讯)都是非常优秀的方案,想了解的可以先看看之前的文章:《Android 签名和多渠道打包原理》。
2.2 签名的历史
先从 Android 签名的历史讲起。
在上个世纪 80 年代,Phil Katz 创建了 ZIP 格式,可以将文件和一些元数组,组合在一个文件中,便于传输和存档,该格式是为了解决压缩、校验和冗余头等问题而提出的解决方案。
Sum 公司在上世纪 90 年代,将 ZIP 作为 JAR 格式的基础,而 JAR 本质上就是一个 ZIP 存档。在其中,META-INF 目录下会包含一些元数据和签名数据等信息。
Android 出现后,也沿用了 Java 的 JAR 的发布方式,将 APK 建立在 JAR 格式之上,在此基础上对 Dalvik 字节码 classes.dex 和资源 resources.arsc 等文件添加更多标准化的结构。当时 Android 的 APK 完全依赖 JAR 的签名方案来确保应用程序的正确性,这就是我们俗称的 V1 方案(JAR 方案)。
在 V1 签名方案中,并不会保护 APK 内的所有文件,会存在一些例外部分,即便被修改也不会导致签名失效,例如:ZIP 元数据。同时,V1 方案对 APK 内部被保护的原始文件,是单独进行计算数据摘要的,所以在验证时,需要先解压再验证,导致安装时会花费更多的时间,消耗更多的内存。例如 V1 方案中签渠道的方式就是利用了此特性,将渠道信息写入 META-INF 文件中,这不会破坏 V1 签名。
多年后,在 Android 7.0 中添加了一种新的签名方式,就是我们俗称的 V2 方案。V2 签名提供了更强大的 APK 文件验证,它不再检查包内单个文件,而是检查整个 APK。它在 ZIP 文件中,插入一个额外的签名块,覆盖 ZIP 文件中的其余部分。
在这个额外的签名块(Apk Signature Block V2)中,会对当前 APK 的其他部分签名。
从安全的角度 V2 会比 V1 更安全,V2 签名是验证整个打包后的 APK 文件,所以对其 APK 文件做“任何”改动都会破坏签名。注意这里的任何是带引号的,V2 签名的签名块其实是一个 K-V 的结构,可以向其中插入一些简单的数据而不破坏 V2 签名,这就是 V2 方案下,多渠道的方案思路。
在引入 V2 方案的同时,也保证了向后兼容,旧的 JAR 签名方案仍然在旧的设备(Android 7.0 以下)中生效,而在较新的设备上,也会判断是否使用 V2 签名,不是则依然会去校验 V1 签名。
V2 方案解决了安全问题以及安装时验证的效率问题,但是它并没有解决前面提到的换签名问题。
2.3 Android 的 V3 方案
Android 9.0 中引入了新的签名方式,它的格式大体和 V2 类似,在 V2 插入的签名块(Apk Signature Block V2)中,又添加了一个新快(Attr块)。
在这个新块中,会记录我们之前的签名信息以及新的签名信息,以密钥转轮的方案,来做签名的替换和升级。这意味着,只要旧签名证书在手,我们就可以通过它在新的 APK 文件中,更改签名。
V3 签名新增的新块(attr)存储了所有的签名信息,由更小的 Level 块,以链表的形式存储。
其中每个节点都包含用于为之前版本的应用签名的签名证书,最旧的签名证书对应根节点,系统会让每个节点中的证书为列表中下一个证书签名,从而为每个新密钥提供证据来证明它应该像旧密钥一样可信。
这个过程有点类似 CA 证书的证明过程,已安装的 App 的旧签名,确保覆盖安装的 APK 的新签名正确,将信任传递下去。
2.4 V3 签名的验证过程
Android 的签名方案,无论怎么升级,都是要确保向下兼容。
在引入 V3 方案后,Android 9.0 及更高版本中,可以根据 APK 签名方案,V3 → V2 → V1 依次尝试验证 APK。而较旧的平台会忽略 V3 签名并尝试 V2 签名,最后才去验证 V1 签名。
整个验证的过程,如下图:
需要注意的是,对于覆盖安装的情况,签名校验只支持升级,而不支持降级。也就是说设备上安装了一个使用 V1 签名的 Apk,可以使用 V2 签名的 Apk 进行覆盖安装,反之则不允许。
三、总结时刻
Android 签名替换的问题,Google 已经在考虑了,9.0 新增的 V3 签名方案就是为了解决签名替换的。这些,肯定都是提前准备。
签名过期的问题,不需要太担心,我们只需要跟着 Google 的步伐就可以了。
最后小结一下结论,签名过期的问题,在 Android 9.0 上新支持的 V3 签名,已经有解决的方案了。另外:
- V1 签名遵循 JAR 的签名方式,单独验证 APK 压缩包中的文件。
- V2 签名是针对 APK 文件的验证,将签名信息写入签名块中,增强了安全性和验证效率。
- V3 签名在签名块中又增加了新块(attr),由更小的 level 块,以链表的形式存储多个证书。
- 在 V3 方案中,最旧的证书为新块链表的根节点,以此对新证书签名,确保新证书正确有效。
V3 方案还没有正式开放,在最新版的 Build Tools 版本 28.0.3 中的 Apksigner,尚不支持 V3 的 APK 签名方案。想尝鲜可以通过源代码自行编译。
从现有的资料来看,我比较关心的多渠道打包的支持方案,在升级到 V3 之后,旧的 V2 支持的多渠道方案应该依然有效(或者少量改动)。
期待上线后的具体效果。
你对 V3 签名有什么想法或者疑问,欢迎在留言区讨论。如若本文对你有所帮助,欢迎留言、转发、点赞。
reference:
Android APK signature scheme V3
公众号后台回复成长『成长』,将会得到我准备的学习资料,也能回复『加群』,一起学习进步;你还能回复『提问』,向我发起提问。
App 签名过期或泄露怎么办?别担心,Google 已经给出解决方案!的更多相关文章
- iOS App签名的原理
前言 相信很多同学对于iOS的真机调试,App的打包发布等过程中的各种证书.Provisioning Profile. CertificateSigningRequest.p12的概念是模糊的,导致在 ...
- 【腾讯Bugly干货分享】iOS App 签名的原理
本文来自 WeRead 团队博客: http://wereadteam.github.io/ iOS 签名机制挺复杂,各种证书,Provisioning Profile,entitlements,Ce ...
- iOS app签名原理
基本原理: 公钥能够验证私钥的签名是否正确. Apple后台有一个私钥A,iOS内置一个公钥A,与私钥A对应.(A:代表Apple,即苹果) 本地产生一对公钥L.私钥L,(L:代表Local,即本地) ...
- Apple App签名机制
概览 数字签名 签名机制与验证过程 操作流程 数字签名 摘要算法 将任意长度文本通过一个算法得到一个固定长度的文本. 源文本不同,计算结果必然不同 无法从结果反推源 例如,MD5和SHA算法 非对称加 ...
- 控制游戏/app使用期限/过期,证书有效期,弹出公告支持离线使用/后端控制,支持Swift、Objective-C集成非常简单,永久免费框架
CertCheck.framework (for iOS) 只能运行于真机上,切勿在模拟器上使用 这是一个控制游戏/app使用期限(到设定的时间无法打开app),或发布弹出公告永久免费的框架,可以全版 ...
- 安卓和ios的app证书过期的相关问题汇总
一,ios的APP的发布流程请见:ios的APP的发布流程 http://www.jianshu.com/p/b1b77d804254 这篇文章写得很好很全面 二,app证书过期了怎么办: IOS的情 ...
- XE6 & IOS开发之免证书真机调试(1):颁发属于自己的App签名证书(有图有真相)
网上能找到的关于Delphi XE系列的移动开发的相关文章甚少,本文尽量以详细的图文内容.傻瓜式的表达来告诉你想要的答案. 原创作品,请尊重作者劳动成果,转载请注明出处!!! 1.自己给自己颁发证书, ...
- 为App签名(为apk签名)
为App签名(为apk签名) 原文地址 这篇文章是Android开发人员的必备知识,是我特别为大家整理和总结的,不求完美,但是有用. 1.签名的意义 为了保证每个应用程序开发商合法ID,防止部分开放商 ...
- 【Android Studio安装部署系列】四十二、Android Studio使用Eclipse中的keystore为App签名
版权声明:本文为HaiyuKing原创文章,转载请注明出处! 概述 从eclipse迁移到AndroidStudio,要用原Eclipse的签名文件,这样才能保证转到AndroidStudio后更新的 ...
随机推荐
- Methods Collection of Enumerating Com Port in Windows, by C
According to this stack overflow thread, PJ Naughter has implemented 9 methods to emunerate com port ...
- 2015.05.05,外语,读书笔记-《Word Power Made Easy》 15 “如何谈论事情进展” SESSION 42
HOW TO TALK ABOUT WHAT GOES ON TEASER PREVIEW 一些以-ate结束的动词,通常表示: to exhaust([ig'zɔ:st] n. 排气,排气装置 v. ...
- 指针,c语言的灵魂
指针是一个值为内存地址的变量. 变量是一块内存空间,指针是变量,是用来存储内存地址的变量. #include <stdio.h> #include <stdlib.h> int ...
- lightoj--1294--Largest Box(三分)
Largest Box Time Limit: 2000MS Memory Limit: 32768KB 64bit IO Format: %lld & %llu Submit Sta ...
- 【NOI 2002】 银河英雄传说
[题目链接] https://www.luogu.org/problemnew/show/P1196 [算法] 并查集 [代码] #include<bits/stdc++.h> using ...
- Spring《六》管理Bean
BeanWrapper BeanFactory ApplicationContext 1.通常情况下使用BeanFactory.ApplicationContext 2.ApplicationCont ...
- Spark Streaming概念学习系列之SparkStreaming运行原理
SparkStreaming运行原理 Spark Streaming不断的从数据源获取数据(连续的数据流),并将这些数据按照周期划分为batch. Spark Streaming将每个batch的数据 ...
- 关于SqlBulkCopy的测试
最近要做.net关于sql大量插入,找到了sqlbulkcopy(自己google下,应该很多说明了)这个好东西,于是测试下性能,用了三个方法对比: 1)直接用ado.net,for循环N次进行单条插 ...
- GIT 常用方法
代码提交顺序: conmmit(提交代码到本地仓库) --->>> pull(将本地仓库代码合并) ---->>> push(将本地合并后的代码提交到 ...
- HTTP+XML接口客户端 结合策略模式实现总结
在项目中,我们经常会使用到http+xml的接口,而且不仅仅的是一个,可能会有多个http的接口需要实时的交互.但是http接口的发送消息的公共部分是一样的,只有每个接口的报文解析和返回报文是不同的, ...