Android的数字签名

~     要确保可靠通信，要解决两个问题：第一，要确定消息的来源确实是其申明的那个人；其次，要保证信息在传递的过程中不被第三方篡改，即使被篡改了，也可以发觉出来。

    数字签名，就是为了解决这两个问题而产生的，它是对前面提到的非对称加密技术与数字摘要技术的一个具体的应用。

对于消息的发送者来说，先要生成一对公私钥对，将公钥给消息的接收者。

    如果消息的发送者有一天想给消息接收者发消息，在发送的信息中，除了要包含原始的消息外，还要加上另外一段消息。这段消息通过如下两步生成：

1）对要发送的原始消息提取消息摘要；

2）对提取的信息摘要用自己的私钥加密。

    通过这两步得出的消息，就是所谓的原始信息的数字签名。

    而对于信息的接收者来说，他所收到的信息，将包含两个部分，一是原始的消息内容，二是附加的那段数字签名。他将通过以下三步来验证消息的真伪：

1）对原始消息部分提取消息摘要，注意这里使用的消息摘要算法要和发送方使用的一致；

2）对附加上的那段数字签名，使用预先得到的公钥解密；

3）比较前两步所得到的两段消息是否一致。如果一致，则表明消息确实是期望的发送者发的，且内容没有被篡改过；相反，如果不一致，则表明传送的过程中一定出了问题，消息不可信。

    通过这种数字签名技术，确实可以有效解决可靠通信的问题。如果原始消息在传送的过程中被篡改了，那么在消息接收者那里，对被篡改的消息提取的摘要肯定和原始的不一样。并且，由于篡改者没有消息发送方的私钥，即使他可以重新算出被篡改消息的摘要，也不能伪造出数字签名。

    综上所述，数字签名其实就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。

    很多时候根本就不具备事先沟通公钥的信息通道。那么如何保证公钥的安全可信呢？这就要靠数字证书来解决了。

    所谓数字证书，一般包含以下一些内容：

    证书的发布机构（Issuer）

    证书的有效期（Validity）

    消息发送方的公钥

    证书所有者（Subject）

·   指纹以及指纹算法

    数字签名

    解压 Android签名apk之后，会有一个META-INF文件夹，这里有三个文件：

MANIFEST.MF

逐一遍历里面的所有条目，如果是目录就跳过，如果是一个文件，就用SHA1（或者SHA256）消息摘要算法提取出该文件的摘要然后进行BASE64编码后，作为“SHA1-Digest”属性的值写入到MANIFEST.MF文件中的一个块中。该块有一个“Name”属性，其值就是该文件在apk包中的路径。

CERT.SF

1》计算这个MANIFEST.MF文件的整体SHA1值，再经过BASE64编码后，记录在CERT.SF主属性块（在文件头上）的“SHA1-Digest-Manifest”属性值值下

2》逐条计算MANIFEST.MF文件中每一个块的SHA1，并经过BASE64编码后，记录在CERT.SF中的同名块中，属性的名字是“SHA1-Digest

CERT.RSA

     会把之前生成的 CERT.SF文件， 用私钥计算出签名, 然后将签名以及包含公钥信息的数字证书一同写入  CERT.RSA  中保存。CERT.RSA是一个满足PKCS7格式的文件。

    如果你改变了apk包中的任何文件，那么在apk安装校验时，改变后的文件摘要信息与MANIFEST.MF的检验信息不同，于是验证失败，程序就不能成功安装。

    其次，如果你对更改的过的文件相应的算出新的摘要值，然后更改MANIFEST.MF文件里面对应的属性值，那么必定与CERT.SF文件中算出的摘要值不一样，照样验证失败。

    最后，如果你还不死心，继续计算MANIFEST.MF的摘要值，相应的更改CERT.SF里面的值，那么数字签名值必定与CERT.RSA文件中记录的不一样，还是失败。

    那么能不能继续伪造数字签名呢？不可能，因为没有数字证书对应的私钥。

所以，如果要重新打包后的应用程序能再Android设备上安装，必须对其进行重签名。

---

容县14731141956： Android签名有什么作用 - ？
茌欢骨折： 最简单直接的回答: 系统要求的. Android系统要求每一个Android应用程序必须要经过数字签名才能够安装到系统中,也就是说如果一个Android应用程序没有经过数字签名,是没有办法安装到系统中的! Android通过数字签名来标识应用程序的作者和在应用程序之间建立信任关系,不是用来决定最终用户可以安装哪些应用程序. 这个数字签名由应用程序的作者完成,并不需要权威的数字证书签名机构认证,它只是用来让应用程序包自我认证的.

容县14731141956： 如何给Android应用程序签名 - ？
茌欢骨折： Android系统要求所有的程序经过数字签名才能安装,如果没有可用的数字签名,系统将不许安装运行此程序.不管是模拟器还是真实手机.因此,在设备或者是模拟器上运行调试程序之前,必须为应用程序设置数字签名.·所有的程序都必须...

容县14731141956： 如何获取android的数字签名及SHA1 - ？
茌欢骨折： 一、百度官方方法 第一种:使用keytool keytool -list -v keystorefile -storepass 123456 其中keytool为jdk自带工具;keystorefile为Android 签名证书文件 第二种:在adt 22中直接查看 如果使用adt 22,可以在eclipse中直接查看:winows -> ...

容县14731141956： android 怎样用keystore进行数字签名 - ？
茌欢骨折： Android系统要求所有的程序经过数字签名才能安装,如果没有可用的数字签名,系统将不许安装运行此程序.不管是模拟器还是真实手机.因此,在设备或者是模拟器上运行调试程序之前,必须为应用程序设置数字签名.·所有的程序都必须签名,

容县14731141956： android App数字签名 - ？
茌欢骨折： 使用Eclipse导出apk时选择自定义的Keystore.输入密码后,最后一步你就会看到这个自定义Keystore的SHA1码了,你不要使用系统自带的那个debug.keystore的SHA1码,每个自定义的Keystore其SHA1都不一样的,看我的截图:

容县14731141956： android如何实现电子签名呢? - ？
茌欢骨折： 右键项目名称 点Android tools 选择第三个 next 选择创建一个新的签名文件 创建就可以 ~~~

容县14731141956： Android如何签名? - ？
茌欢骨折： signapk.jar与eclipse export插件默认赋予程序一个DEBUG权限的签名 signapk.jar包含有系统权限(system api, permission),而eclipse export插件默认赋予程序一个DEBUG权限的签名.D:\work_feixun\GalleryBack>java -jar signapk.jar platform....

容县14731141956： android如何实现电子签名 - ？
茌欢骨折： 1.笔画识别技术2.加密解密技术

容县14731141956： android studio怎么获取数字签名 - ？
茌欢骨折： 方法一: 在 Eclipse中 数字签名(SHA1或MD5)的获取方法 为: 点击 Eclipse导航栏的Windows --> Preference --> Android --> Build 方法二: Android Studio 或 IntelliJ IDEA下开发Android 应用, 可以打开Terminal,使用keytool获取. 本人使用ubuntu14.04 作为开发机, 具体方法如下: $ cd ~/.android $ keytool -list -v -keystore debug.keystore 测试的默认口令为:android 或者 直接回车

容县14731141956： mono for android 怎么设置数字签名 - ？
茌欢骨折： 用java命令查看,如下: C:\jdk1.6.0_10\bin>jarsigner.exe -verify f:\ICBCAndroidBank.apk jar 已验证什么是数字签名?数字签名就是为你的程序打上一种标记,来作为你自己的标识,当别人看到签名的时候会知道它是与你相关的.为什么要数...