gpt4 book ai didi

Android APK,自签名

转载 作者:太空狗 更新时间:2023-10-29 14:30:46 30 4
gpt4 key购买 nike

我正在研究与 Android 设备上的软件组件(具体来说,一个 apk 文件)证明相关的概念证明。为此,我做了以下工作:

  1. 我以编程方式检索了存储在我的 Android 平板电脑上安装的应用程序(例如 maps.apk)的 META/CERT.SF 中的摘要,属于 AndroidManifest.xml、resources.arsc 和 classes.dex。

  2. 然后,我计算了这些文件的 SHA-1 摘要,然后对这些摘要进行了 base64。我能够将这些与步骤 1 中的匹配。

我的问题是,META-INF/CERT.RSA 中存储的公钥的作用在哪里?存储在 META-INF/CERT.SF 中的摘要不是应该由 META-INF/CERT.RSA 中的公钥对应的私钥签名吗?

最佳答案

真正的问题是:CERT.SF 的作用是什么??

文件 CERT.SF 不包含签名数据,但它仅从 MANIFEST.MF 构建。这意味着它不包含任何无法从 MANIFEST.MF 中提取的信息。

CERT.RSA 或 CERT.DSA(取决于使用的算法)文件包含 CERT.SF 的实际签名。要从 CERT.SF 构建 CERT.RSA,需要私钥...

-- 编辑--

对不起。第一次阅读您的问题时,我以另一种方式理解了它。

检查存档完整性的第一步实际上是检查 CERT.SF 中的哈希值是否正确。下一步是检查 CERT.SF 本身是否已被修改。

这是使用 CERT.RSA 完成的,可以通过两种方式完成:

  1. 如果您有文件签名者的公钥,您可以使用该公钥来检查签名;您忽略 RSA 文件中的公钥。在这种情况下,您确定文件已被使用其私钥签名的人修改。

  2. RSA 文件始终包含公钥和该 key 所有者的姓名/地址。此信息使用(相同或另一个)私钥签名。如果在 RSA 文件中签署 key /名称的人/组织是可信的,并且您拥有该组织的公钥,您至少知道文件中的名称/地址是最后修改文件的人。

对于“自签名证书”(您没有可信任的公钥),无法检查文件...

签名不用于检查文件是否未更改。这只需对 manifest.mf 进行哈希处理即可完成。拥有私钥的人可以以任何方式修改软件!

马丁

关于Android APK,自签名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7211245/

30 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com