在Android中,一般來說有兩個地方使用加密簽名。
1.每個.apk文件必須進行簽名。Android的程序包管理器通過兩種方式使用簽名:
- 當一個應用程序被替換時,只有相同簽名的應用才能操作舊版本的數據。
- 兩個應用如果簽名一致,那麼這兩個應用可以共享User ID和用戶數據。
2.OTA更新包必須進行簽名否則更新程序無法進行安裝。(注!我們製作更新包的時候如果不指定key,系統會指定默認的key進行簽名,如testkey。)
證書和祕鑰
每個祕鑰需要兩個文件:擴展名爲.x509.pem的證書(公鑰)和擴展名爲.pk8私鑰。私鑰是用來對包進行簽名的,不可公開,而且有必要使用一定策略的密碼進行保護,僅僅是讓最終發佈版本的人知道密碼即可。而證書(公鑰)相對來說要求並沒有那麼嚴格,它通常被用來驗證一個包是否進行過密鑰簽名。
標準的Android通常使用下面4個祕鑰,它們位於build/target/product/security目錄下:
testkey
默認生成的更新包祕鑰,如果我們在製作更新包時沒有指定響應的祕鑰,系統會默認使用testkey進行簽名。
platform
平臺使用的測試祕鑰
shared
聯繫人等共享測試祕鑰
media
部分多媒體、下載系統等程序包所使用的測試祕鑰
我們可以在我們的.mk文件中通過設置LOCAL_CERTIFICATE來爲我們的安裝包指定祕鑰(如果沒有指定有效的key,系統會默認使用testkey)。
Device/yoyodyne/apps/SpecialApp/Android.mk
[...]
LOCAL_CERTIFICATE := device/yoyodyne/security/special
通過上面的配置,編譯系統就會使用device/yoyodyne/security/special.{.509.pem,pk8}來爲我們的應用進行簽名。編譯系統只能是用沒有密碼保護的私鑰。
生成祕鑰
我們可以使用openssl工具來生成我們的祕鑰(公鑰和私鑰),openssl工具下載地址:http://www.openssl.org/
# generate RSA key
% openssl genrsa -3 -out temp.pem 2048
Generating RSA private key, 2048 bit long modulus
....+++
.....................+++
e is 3 (0x3)
# create a certificate with the public part of the key
% openssl req -new -x509 -key temp.pem -out releasekey.x509.pem \
-days 10000 \
-subj '/C=US/ST=California/L=San Narciso/O=Yoyodyne, Inc./OU=Yoyodyne Mobility/CN=Yoyodyne/[email protected]'
# create a PKCS#8-formatted version of the private key
% openssl pkcs8 -in temp.pem -topk8 -outform DER -out releasekey.pk8 -nocrypt
# securely delete the temp.pem file
% shred --remove temp.pem
Openssl的pkcs8命令會生成一個沒有密碼保護的.pk8文件,這種方式適用於編譯系統。如果想生成一個帶有密碼保護的.pk8文件,我們可以使用-passout stdin參數代替nocrypt參數即可。具體可參考http://www.openssl.org/docs/apps/openssl.html#PASS_PHRASE_ARGUMENTS。
簽名APP
我們可以使用sign_target_files_apks腳本來對.apk文件進行簽名。當我們運行該腳本時,我們需要在命令行中使用”-k src_key=dest_key來指定相應的key。我們也可以使用-d dir來制定一個目錄用來替換編譯系統所使用的build/target/product/security目錄,這就相當於下面這種用法:
-
build/target/product/security/testkey = dir/releasekey
-
build/target/product/security/platform = dir/platform
-
build/target/product/security/shared = dir/shared
-
build/target/product/security/media = dir/media
例如在tardis項目中,使用了5個具有密碼保護的祕鑰:4個用來替換build/target/product/security,一個用來替換上面提到的keydevice/yoyodyne/security/special,如下:
-
vendor/yoyodyne/security/tardis/releasekey.x509.pem
-
vendor/yoyodyne/security/tardis/releasekey.pk8
-
vendor/yoyodyne/security/tardis/platform.x509.pem
-
vendor/yoyodyne/security/tardis/platform.pk8
-
vendor/yoyodyne/security/tardis/shared.x509.pem
-
vendor/yoyodyne/security/tardis/shared.pk8
-
vendor/yoyodyne/security/tardis/media.x509.pem
-
vendor/yoyodyne/security/tardis/media.pk8
-
vendor/yoyodyne/security/special.x509.pem
-
vendor/yoyodyne/security/special.pk8 # NOT password protected
-
vendor/yoyodyne/security/special-release.x509.pem
-
vendor/yoyodyne/security/special-release.pk8 # password protected
然後我們可以像下面的例子中描述的一樣對所有的應用進行簽名:
-
% ./build/tools/releasetools/sign_target_files_apks \
-
-d vendor/yoyodyne/security/tardis \
-
-k vendor/yoyodyne/special=vendor/yoyodyne/special-release \
-
-o \ # explained in the next section
-
tardis-target_files.zip signed-tardis-target_files.zip
-
Enter password for vendor/yoyodyne/security/special-release key>
-
Enter password for vendor/yoyodyne/security/tardis/media key>
-
Enter password for vendor/yoyodyne/security/tardis/platform key>
-
Enter password for vendor/yoyodyne/security/tardis/releasekey key>
-
Enter password for vendor/yoyodyne/security/tardis/shared key>
-
signing: Phone.apk (vendor/yoyodyne/security/tardis/platform)
-
signing: Camera.apk (vendor/yoyodyne/security/tardis/media)
-
signing: Special.apk (vendor/yoyodyne/security/special-release)
-
signing: Email.apk (vendor/yoyodyne/security/tardis/releasekey)
-
[...]
-
signing: ContactsProvider.apk (vendor/yoyodyne/security/tardis/shared)
-
signing: Launcher.apk (vendor/yoyodyne/security/tardis/shared)
-
rewriting SYSTEM/build.prop:
-
replace: ro.build.description=tardis-user Eclair ERC91 15449 test-keys
-
with: ro.build.description=tardis-user Eclair ERC91 15449 release-keys
-
replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
-
with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
-
signing: framework-res.apk (vendor/yoyodyne/security/tardis/platform)
-
rewriting RECOVERY/RAMDISK/default.prop:
-
replace: ro.build.description=tardis-user Eclair ERC91 15449 test-keys
-
with: ro.build.description=tardis-user Eclair ERC91 15449 release-keys
-
replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
-
with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
-
using:
-
vendor/yoyodyne/security/tardis/releasekey.x509.pem
-
for OTA package verification
-
done.
簽名OTA包
簽名OTA包的流程主要有下面這些:
1.準備好build時所要使用的簽名文件
2.對準備創建的ota包進行簽名
具體命令如下:
-
% ./build/tools/releasetools/ota_from_target_files \
-
-k vendor/yoyodyne/security/tardis/releasekey \
-
signed-tardis-target_files.zip \
-
signed-ota_update.zip
-
unzipping target target-files...
-
(using device-specific extensions from target_files)
-
Enter password for vendor/yoyodyne/security/tardis/releasekey key>
-
done.
簽名與側面安裝機制
側面安裝機制並不能繞開安裝包簽名機制而進行。在安裝更新前,recovery會對更新包的簽名進行驗證,它會驗證OTA包簽名的私鑰是否和recovery分區存放的公鑰相符。
對更新包簽名的驗證通常會有兩次,一次是android系統使用Android API中的RecoverySystem.verifyPackage()方法進行驗證,一種是recovery系統的驗證。RecoverySystem API會檢查存儲在Android系統中的公鑰是否與/system/etc/security/otacerts.zip(默認情況下)。而recovery 系統會驗證存儲在recovery 分區中的/res/keys中存儲的公鑰。
一般情況下,兩個地方存儲的公鑰是相同的。在側面安裝機制中我們可以指定額外的key進行校驗,通過下面的配置。
vendor/yoyodyne/tardis/products/tardis.mk
-
[...]
-
PRODUCT_EXTRA_RECOVERY_KEYS := vendor/yoyodyne/security/tardis/sideload