Android技术知识安卓Android开发

安卓apk签名及相关工具(keytool、jarsigner 、

2018-05-17  本文已影响18人  爱吃馒头的二饼

keytool

keytool工具 是一个Java 数据证书的管理工具,它是JDK自带的一个在命令行下执行的程序。

常用命令:

genkey 生成密钥对(公钥和私钥)
-v 显示密钥库中的证书详细信息
-alias <alias_name> 秘钥的别名,只有前8个字符有效
-keyalg <alg> 生成秘钥的算法,支持DSA和RSA
-keysize <size> 生成秘钥的位数,默认1024位,建议使用2048以上的位数
-dname <name> 发布者名称,如未指定,在使用jarsigner签名时会提示输入
-keypass <password> 秘钥的密码
-validity <valDays> 密钥的有效期是多少天
-storepass <password> keystore的密码

如下是使用Keytool生成keystore文件,使用RSA算法,秘钥长度为4096位

    keytool -genkey -keystore my-release-key.keystore -alias my_alias -keyalg RSA -keysize 4096 -validity 10000 
运行结果

生成的过程中会让我们填写一些信息,如密码、城市等,生成的keystore文件默认在当前目录下。


jarsigner

    Android系统中的签名算法使用MD5作为哈希算法并使用RSA进行加密和解密,计算apk的哈希算法使用SHA-1

常用命令:

-keystore <keystore-name>.keystore keystore路径
-signedjar <signed-apk-name>.apk 签名后apk文件输出路径
-verbose 输出详细信息
-sigalg <算法> 签名算法
-digestalg <算法> 处理apk使用的哈希算法
-verify 验证已签名的jar文件

我们通过工具导出一个未经过签名的apk文件,为其签名

jarsigner -sigalg MD5withRSA -digestalg SHA1 -keystore my-release-key.keystore  -signedjar my_application_signed.apk my_application_unsigned.apk my_alias
签名结果

如图所示,虽然我们签名成功了。但是会提示警告:

警告:
No -tsa or -tsacert is provided and this jar is not timestamped. Without a timestamp, users may not be able to validate this jar after the signer certificate's expiration date (2045-10-02) or after any future revocation date.

大概意思是说,未提供 -tsa 或 -tsacert, 此 jar 没有时间戳。如果没有时间戳, 则在签名者证书的到期或以后的任何撤销日期之后,用户可能无法验证此jar。

解决此问题的方法就是在命令后面添加时间戳网址,完整命令如下:

jarsigner -sigalg MD5withRSA -digestalg SHA1 -keystore my-release-key.keystore  -signedjar my_application_signed.apk my_application_unsigned.apk my_alias -tsa http://sha256timestamp.ws.symantec.com/sha256/timestamp 

网上大部分让加的-tsa https://timestamp.geotrust.com/tsa 会提示无法对 jar 进行签名: 时间戳颁发机构没有响应。
原因是这个时间戳网址已经过期了

我们可以通过如下命令进行验证签名是否成功:

jarsigner -verify my_application_signed.apk

如果你使用的是一个签过名的apk文件,执行重签名会报如下错误:

jarsigner: 无法对 jar 进行签名: java.util.zip.ZipException: invalid entry compressed size
如果有重签名(与之前签名不同)的需求,可以把要重签名的apk后缀改成zip,打开后删除里面的META-INF目录,然后重新改成apk后缀,再次进行签名


zipalign

签名之后,我们还可以使用zipalign工具对安装包进行对齐优化,这样能够让应用程序和整个系统运行得更快

开发工具进行zipalign非常方便:

    buildTypes {
        release {
            ...
            zipAlignEnabled true
            ...
        }
    }

C:\Users\hanpeng\AppData\Local\Android\Sdk\build-tools\23.0.1\zipalign.exe

在签名后使用以下命令进行zipalign对齐:

zipalign -v 4 my_application_signed.apk my_application_signed_zipaligned.apk

对齐验证:

zipalign -c -v 4 my_application_signed_zipaligned.apk
zipalign对齐结果

参考:
《Android安全机制解析与应用实践》 第八章 Android应用安全实用解决方案

上一篇下一篇

猜你喜欢

热点阅读