Android 数字签名学习笔记

在Android系统中，所有安装到系统的应用程序都必有一个数字证书，此数字证书用于标识应用程序的作者和在应用程序之间建立信任关系,如果一个permission的protectionLevel为signature，那么就只有那些跟该permission所在的程序拥有同一个数字证书的应用程序才能取得该权限。Android使用Java的数字证书相关的机制来给apk加盖数字证书，要理解android的数字证书，需要先了解以下数字证书的概念和java的数字证书机制。Android系统要求每一个安装进系统的应用程序都是经过数字证书签名的，数字证书的私钥则保存在程序开发者的手中。Android将数字证书用来标识应用程序的作者和在应用程序之间建立信任关系，不是用来决定最终用户可以安装哪些应用程序。这个数字证书并不需要权威的数字证书签名机构认证，它只是用来让应用程序包自我认证的。

基础概念：数字证书：

数字证实是采用数字手段来证实用户身份的一种方法。数字证书含有两部分数据：一部分是对应主体（单位或个人）的信息，另一部分是这个主体所对应的公钥。即数字证书保存了主体和它的公钥的一一对应关系，用于自我认证（向其他的用户证明自己的身份）。

Java数字证书工具。

Java中的keytool.exe可以用来创建数字证书，所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中，证书库中的一条证书包含该条证书的私钥，公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件，数字证书文件只包括主体信息和对应的公钥。

每一个证书库是一个文件组成，它有访问密码，在首次创建时，它会自动生成证书库，并要求指定访问证书库的密码。

在创建证书的的时候，需要填写证书的一些信息和证书对应的私钥密码。这些信息包括 CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx，它们的意思是：

CN(Common Name名字与姓氏)

OU(Organization Unit组织单位名称)

O(Organization组织名称)

L(Locality城市或区域名称)

ST(State州或省份名称)

C(Country国家名称）

可以采用交互式让工具提示输入以上信息，也可以采用参数

-dname "CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx"来自动创建。

例如这条命令：

keytool -genkey -alias testCA -keyalg RSA -keysize 1024 -keystore testCALib -validity 3650

在数字证书库testCALib中创建了一个别名为testCA,使用RSA算法加密的，有效期为3650天的数字证书。

证书生成以后，我们可以使用命名将数字证书导出为一个文件。

keytool -export -alias testCA -file testCA.cer -keystore testALib -rfc

有关keytool的其他用法可以查询keytool的帮助文档。

数字证书生成以后，我们需要使用生成的数字证书给程序包签名，这个是使用jarsigner 工具。例如，如果我们有一个android的程序包calendar.apk.，我们就可以使用刚生成的testCA给改程序包签名。

jarsigner -keystore testCALib calendar.apk testCA.

Android数字证书概述：

Android系统要求每一个安装进系统的应用程序都是经过数字证书签名的，数字证书的私钥则保存在程序开发者的手中。Android将数字证书用来标识应用程序的作者和在应用程序之间建立信任关系，儿不是用来决定最终用户可以安装哪些应用程序。这个数字证书并不需要权威的数字证书签名机构认证，它只是用来让应用程序包自我认证的。

Android数字证书包含以下几个要点：

(1)所有的应用程序都必须有数字证书，Android系统不会安装一个没有数字证书的应用程序

(2)Android程序包使用的数字证书可以是自签名的，不需要一个权威的数字证书机构签名认证

(3)如果要正式发布一个Android ，必须使用一个合适的私钥生成的数字证书来给程序签名，而不能使用adt插件或者ant工具生成的调试证书来发布。

(4)数字证书都是有有效期的，Android只是在应用程序安装的时候才会检查证书的有效期。如果程序已经安装在系统中，即使证书过期也不会影响程序的正常功能。

(5)Android使用标准的java工具 Keytool and Jarsigner 来生成数字证书，并给应用程序包签名。

Android系统不会安装运行任何一款未经数字签名的apk程序，无论是在模拟器上还是在实际的物理设备上。Android的开发工具(ADT插件和Ant)都可以协助开发者给apk程序签名，它们都有两种模式：调试模式(debug mode)和发布模式(release mode)。

在调试模式下，android的开发工具会在每次编译时使用调试用的数字证书给程序签名，开发者无须关心。

当要发布程序时，开发者就需要使用自己的数字证书给apk包签名，可以有两种方法。

(1)在命令行下使用JDK中的和Keytool(用于生成数字证书)和Jarsigner(用于使用数字证书签名)来给apk包签名

(2)使用ADT Export Wizard进行签名(如果没有数字证书可能需要生成数字证书)

签名策略：

同一个开发者的多个程序尽可能使用同一个数字证书，这可以带来以下好处。

(1)有利于程序升级，当新版程序和旧版程序的数字证书相同时，Android系统才会认为这两个程序是同一个程序的不同版本。如果新版程序和旧版程序的数字证书不相同，则Android系统认为他们是不同的程序，并产生冲突，会要求新程序更改包名。

(2)有利于程序的模块化设计和开发。Android系统允许拥有同一个数字签名的程序运行在一个进程中，Android程序会将他们视为同一个程序。所以开发者可以将自己的程序分模块开发，而用户只需要在需要的时候下载适当的模块。

(3)可以通过权限(permission)的方式在多个程序间共享数据和代码。Android提供了基于数字证书的权限赋予机制，应用程序可以和其他的程序共享概功能或者数据给那那些与自己拥有相同数字证书的程序。如果某个权限(permission)的protectionLevel是signature，则这个权限就只能授予那些跟该权限所在的包拥有同一个数字证书的程序。

在签名时，需要考虑数字证书的有效期：

(1)数字证书的有效期要包含程序的预计生命周期，一旦数字证书失效，持有改数字证书的程序将不能正常升级。

(2)如果多个程序使用同一个数字证书，则该数字证书的有效期要包含所有程序的预计生命周期。

(3)Android Market强制要求所有应用程序数字证书的有效期要持续到2033年10月22日以后。

Android数字证书包含以下几个要点：

(1)所有的应用程序都必须有数字证书，Android系统不会安装一个没有数字证书的应用程序

(2)Android程序包使用的数字证书可以是自签名的，不需要一个权威的数字证书机构签名认证

(3)如果要正式发布一个Android ，必须使用一个合适的私钥生成的数字证书来给程序签名，而不能使用adt插件或者ant工具生成的调试证书来发布。

(4)数字证书都是有有效期的，Android只是在应用程序安装的时候才会检查证书的有效期。如果程序已经安装在系统中，即使证书过期也不会影响程序的正常功能。

(5)Android使用标准的java工具 Keytool and Jarsigner 来生成数字证书，并给应用程序包签名。

（6）使用zipalign优化程序。

在调试模式下，android的开发工具会在每次编译时使用调试用的数字证书给程序签名，开发者无须关心。

当要发布程序时，开发者就需要使用自己的数字证书给apk包签名，可以有两种方法。

(1)在命令行下使用JDK中的和Keytool(用于生成数字证书)和Jarsigner(用于使用数字证书签名)来给apk包签名。

(2)使用ADT Export Wizard进行签名(如果没有数字证书可能需要生成数字证书)。

使用Keytool和Jarsigner给程序签名

命令：keytool -genkey -v -keystore android.keystore -alias android -keyalg RSA -validity 20000

该命令中，-keystore ophone.keystore 表示生成的证书，可以加上路径（默认在用户主目录下）；-alias ophone 表示证书的别名是ophone；-keyalg RSA 表示采用的RSA算法；-validity 20000表示证书的有效期是20000天。

此时，我们会在互用主目录下看到ophone.keystore，即我们刚刚创建的证书。

接着对程序进行签名：

jarsigner用法： [选项] jar 文件别名
jarsigner -verify [选项] jar 文件

执行：jarsigner -verbose -keystore android.keystore -signedjar android123_signed.apk android123.apk****android 就可以生成签名的apk文件，这里输入文件android123.apk，最终生成android123_signed.apk为Android签名后的APK执行文件。下面提示输入的密码和keytool输入的一样就行了。（不过在我的JDK目录下没有找到jarsigner这个程序，不知道是怎么回事）

使用ADT Export Wizard进行签名

应用程序（apk）签名,在EC中，右键单击应用程序工程，如图选择

选择证书的存放路径，填写相关资料，完成，即可生成被签名的apk文件。如下图所示：

如上图所示，我们可以看到也可以在这里选择”Create new keystore“来创建一个证书。输入密码，点击下一步，填写相关信息，如下图所示。

使用zipalign优化APK

根据官方文档的描述，Android系统中Application的数据都保存在它的APK文件中，同时可以被多个进程访问，安装的过程包括如下几个步骤：

Installer通过每个apk的manifest文件获取与当前应用程序相关联的permissions信息
Home application读取当前APK的Name和Icon等信息。
System server将读取一些与Application运行相关信息，例如：获取和处理Application的notifications请求等。
最后，APK所包含的内容不仅限于当前Application所使用，而且可以被其它的Application调用，提高系统资源的可复用性。

zipalign优化的最根本目的是帮助操作系统更高效率的根据请求索引资源，将resource-handling code统一将Data structure alignment（数据结构对齐标准:DSA）限定为4-byte boundaries。如果不采取对齐的标准，处理器无法准确和快速的在内存地址中定位相关资源。目前的系统中使用fallback mechanism机制处理那些没有应用DSA标准的应用程序，这的确大大的方便了普通开发者无需关注繁琐的内存操作问题。但是相反，对于这样的应用程序将给普通用户带来一定的麻烦，不但影响程序的运行的效率，而且使系统的整体执行效率下降和占用大量不必要的内存资源，甚至消耗一定的电池资源 (battery life)。

命令行方式手动优化：

利用tools文件夹下的zipalign工具。首先调出cmd命令行，然后执行:zipalign -v 4 source.apk androidres.apk。这个方法不受API Level的限制，可以对任何版本的APK执行Align优化。
同时可以利用zipalign工具检查当前APK是否已经执行过Align优化。命令：zipalign -c -v 4 androidres.apk

使用ADT自动优化:

从 ADT 0.9.3版本开始，可以通过export wizard自动对发布的application packages执行align操作。设置方法：鼠标右键点击Project，然后选择”Android Tools” > “Export Signed Application Package…”。

综上所述，可以使用Keytool、Jarsigner、zipalign 给程序签名并优化程序，这样就需要三个不同的工具：

keytool -genkey -v -keystore android.keystore -alias android -keyalg RSA -validity 20000

jarsigner -verbose -keystore android.keystore -signedjar android123_signed.apk android123.apk android

zipalign -v 4 android123_signed.apk android123_signed_aligned.apk

当然，也可以通过ADT插件中Export Signed Application Package…来执行，图形界面更为简单、形象、直观。

参考：blog.csdn.net/zgfee/archive/2009/11/11/4796831.aspx

Android SDK：androidappdocs.appspot.com/guide/publishing/app-signing.html

android123.com.cn/androidkaifa/173.html

yarin.javaeye.com/blog/549280

androidres.com/index.php/2009/10/18/use-zipalign-to-optimize-your-application-packages/