一、Android簽名概述

我們已經知道的是：Android對每一個Apk檔案都會進行簽名，在Apk檔案安裝時，系統會對其簽名信息進行比對，判斷程式的完整性，從而決定該Apk檔案是否可以安裝，在一定程度上達到安全的目的。

給定一個Apk檔案，解壓，可以看到一個META-INFO資料夾，在該資料夾下有三個檔案：分別為MANIFEST.MF、CERT.SF和CERT.RSA。這三個檔案分別表徵以下含義：

（1）MANIFEST.MF：這是摘要檔案。程式遍歷Apk包中的所有檔案(entry)，對非資料夾非簽名檔案的檔案，逐個用SHA1生成摘要資訊，再用Base64進行編碼。如果你改變了apk包中的檔案，那麼在apk安裝校驗時，改變後的檔案摘要資訊與MANIFEST.MF的檢驗資訊不同，於是程式就不能成功安裝。

說明：如果攻擊者修改了程式的內容，有重新生成了新的摘要，那麼就可以通過驗證，所以這是一個非常簡單的驗證。

（2）CERT.SF：這是對摘要的簽名檔案。對前一步生成的MANIFEST.MF，使用SHA1-RSA演算法，用開發者的私鑰進行簽名。在安裝時只能使用公鑰才能解密它。解密之後，將它與未加密的摘要資訊（即，MANIFEST.MF檔案）進行對比，如果相符，則表明內容沒有被異常修改。

說明：在這一步，即使開發者修改了程式內容，並生成了新的摘要檔案，但是攻擊者沒有開發者的私鑰，所以不能生成正確的簽名檔案（CERT.SF）。系統在對程式進行驗證的時候，用開發者公鑰對不正確的簽名檔案進行解密，得到的結果和摘要檔案（MANIFEST.MF

（3）CERT.RSA檔案中儲存了公鑰、所採用的加密演算法等資訊。

說明：系統對簽名檔案進行解密，所需要的公鑰就是從這個檔案裡取出來的。

結論：從上面的總結可以看出，META-INFO裡面的說那個檔案環環相扣，從而保證Android程式的安全性。（只是防止開發者的程式不被攻擊者修改，如果開發者的公私鑰對對攻擊者得到或者開發者開發出攻擊程式，Android系統都無法檢測出來。）

參考文章：http://www.blogjava.net/zh-weir/archive/2011/07/19/354663.html

二、在Eclipse下配置App的簽名信息

對App進行簽名的方式一般有以下幾種：通過Google提供的簽名工具，通過某些開發者開發的簽名工具或者通過Eclipse提供的簽名方法，但一般而言，他們都是在下層呼叫Google提供的簽名工具，所以簽名的方法都相同。

例如，在Eclipse下面配置簽名信息時，可以設定開發者資訊：

具體參考文章：http://blog.csdn.net/zuolongsnail/article/details/6444197（上圖來源於該文章）

說明：從上圖可以看出，在Eclipse中，可以設定開發者的詳細資訊。在其他的簽名工具中，可能會直接呼叫其他簽名信息。

值得注意的是，在設定簽名信息的時候，會有如下圖所示的步驟：

請暫且記住這裡有認證指紋資訊：MD5和SHA1。由於這一步驟是在編譯生成Apk檔案之前進行的，所以，說明這裡的MD5和SHA1與程式的內容毫無關係，只與開發者的公私鑰對等開發資訊有關。

我們自己設定簽名信息之後開發程式並簽名，得到的簽名信息經過keytool.exe解析結果如下：

說明：由上圖可以發現，解析結果中的MD5和SHA1與上面得到的MD5，SHA1是相同的。

三、同一個公司的不同App的簽名有關係嗎？

我們有一個疑問，許多網際網路大公司會開發許多官方的移動應用，那麼這些應用的簽名信息是否相同呢，他們所用的公私鑰對是否都是一樣的？我們對Tencent公司的QQ，QQ空間，微信三款產品進行解析，得到下面的結果和結論。

1、使用keytool.exe

使用Java提供的keytool.exe工具對三款產品的簽名情況（CERT.RSA檔案）進行解析，情況如下所示。

微信：

QQ：

QQ空間：

說明：從上面的三幅圖可以看出，雖然同為Tencent的三款產品，但是他們的所有者資訊、簽發人資訊等都不盡相同，儘管他們都表示了騰訊公司或者Tencent等資訊。因為這是開發者自己設定的，而且微信和QQ屬於不同的事業部，辦公地點不同，所以他們的簽名信息不同也就不足為奇了。

2、自己寫應用提取

自己寫程式從CERT.RSA提取出公鑰資訊和證書中的簽名信息（對開發者資訊的簽名，例如姓名，公司，國家等。。。），情況如下：

由於都是一些字元，且很多，所以只取開始和結束的幾位位元做一說明：

微信：

公鑰：c05f........5e9f

簽名：3082....1949

QQ:

公鑰：a15e........3695

簽名：3082........2049

QQ空間：

公鑰：82d...........445

簽名：3082........1677

說明：由於三款App的開發者設定的簽名信息幾乎不同，使用的公私鑰對都不同，所以這裡取出來的公鑰和簽名信息幾乎不同。唯一相同的是三款App的簽名的開始一些位元，可能是因為有的資訊相同，具體不得而知。

四、同一款App的不同版本簽名信息有關係嗎？

為了說明這個問題，我們對QQ的兩個版本做了檢測，情況如下：

QQ4.7.0：

公鑰：a15e........3695

簽名：3082........2049

公鑰：a15e........3695

簽名：3082........2049

五、可以修改META-INFO資料夾下的檔案嗎？

（1）CERT.RSA，CERT.SF的檔名可以修改。

我們把CERT.SF的檔名改成CERT1.SF，把CERT.RSA的檔名改成CERT1.RSA，原來的Apk檔案可以被成功安裝。

說明：Android系統在檢測的時候，不會一定要找到CERT這種檔名，是按照檔案型別來檢測的。但是，如果.RSA檔案與.SF檔案的名字不同，那麼就不能成功安裝。

（2）新增自己的CERT.SF和CERT.RSA檔案到META-INFO資料夾下面，不能成功。

說明：在（1）的基礎上，我們執行（2）操作，不能成功安裝，這是因為Android系統找不到摘要檔案與（2）中新增上的兩個檔案進行對應。

六、不同的簽名應用，得到的結果可能不同。

用Eclipse簽名的Apk檔案，解析CERT.RSA檔案之後得到的結果如下：

用Dodo Apktools簽名後的Apk檔案解析之後結果如下：

說明：用Dodo簽名的解析檔案多了後面的擴充套件部分，但總體內容不變。

七、應用商店用什麼方式檢測官方版？

豌豆莢推出的洗白白功能很受歡迎，那麼他們是如何辨別App的是否是官方出品的呢？

根據蒐集到的資料，他們CEO說是這樣實現的：將商店裡的App與官網上的App簽名做對比。

搜尋結果王俊煜的描述，他們是通過將開發者上傳的應用與官網上的應用的簽名對比是否相同來確定App是否是官方出品的。從上面的分析，我們也可以得出結論，應用商店採用這種方法是最合適的。