数字签名及其应用

 家长签名,领导签名,合同签名,这些签名实际上都是在说明一件事:签名人通过签署自己名字的方式,向公众表示他们已经审核过这个文档,并对文档内容负责。
 在计算机领域,也有这样一套签名机制,称之为数字签名,或电子签章。它的作用也是如此:对一段信息进行签署,对这段信息的完整性、正确性负责。最初了解这个概念是在使用 Https 的时候。Android 的打包过程肯定也遇到了,但是并没有过多留意,直到有一天,需要对 apk 进行系统签名。接下来,就讨论下什么是签名,以及,它是怎么应用到 Android 应用中的。

什么是签名

 签名,与现实中类似,是对我们的信息完整性进行认证,确认我们的信息在传输过程中没有被篡改,即使被篡改了也能被发现。从计算机实现的角度来说,对内容加密应该是一种最快捷便利的方式,而签名正是利用了 非对称加密技术 (只能用公钥解密私钥加密过的内容,反之亦然)实现了这一点。用可靠私钥对需要判断信息完整性的内容进行加密,加密后的结果就是签名的本质。在需要验证的时候,使用公钥对私钥加密过的内容解密。私钥由创建者保存,并保证它的安全,而公钥是公开的。私钥加密过的内容,只能由相应的公钥解密,这样就保证了这段信息的完整性。
 接下来我们来看下经典的 Alice 和 Bolb 通信实例(实例来源于 NetPayClient用户手册):
数字签名示意图

  • Alice 准备了一份合同 M;
  • Alice 用摘要算法计算出该合同 M 的消息摘要 MD;
  • Alice 用非对称算法和自己的私钥对合同消息摘要 MD 进行加密,该密文 S 就是合同的数字签名;
  • Alice 将合同 M 和合同的数字签名 S 合并在一起,通过网络传送到合同的接受者 Bob;
  • Bob 收到 Alice 的合同 M 及合同的数字签名 S;
  • Bob 用 Alice 的公钥对合同签名 S 进行解密,得到 Alice 计算的合同摘要 MD;
  • Bob 采用相同摘要算法对收到的合同重新计算消息摘要 MD’;
  • Bob 比较 MD 与 MD’ 是否相等?
  • 如结果相等,根据摘要算法的特性表明合同在传输过程中未被篡改。同时由于非对称加密算法的特性可以断定合同确实是 Alice 发送的,因为用 Alice 公钥能解密成功的数据只有 Alice 用她自己私钥对其进行加密才能产生,而她的私钥其它人是无法获取的。

 M 和 S 的合并,在进行通信传输的时候实际上就构成了一个证书。这里,其实也已经透露出了证书的本质,即 *** 信息 + 公钥 + 与公钥所对应的私钥对信息加密过后形成的签名。***

在通信过程中使用签名

 上面的实例中,有一个非常重要的安全问题没有解决,那就是万一有中间人 Doug 截获了信息,然后使用自己的私钥对信息进行签名,并把 Bob 保留的 Alice 的公钥换成了自己的公钥,那么,后来 Alice 发过来的信息无法通过验证,只能由 Doug 才能和 Bob 保持通信。
 为了解决这样重大的安全隐患,需要有一个第三方的可信机构站出来,对我们发过去的公钥做一个认证,这就是 CA 出现的起因。接下来,有几个概念我们需要澄清。

CA(certification authority (CA) ,an entity that issues digital certificates): 数字证书认证机构.也称为电子商务认证中心、电子商务认证授权机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。

 实际上,这就是具有公信力、值得大众信任的第三方。只要是它所签发的证书,大家都认为是安全的。厂商预先在客户端植入这些 CA 的根证书,根证书中包含了它的公钥。后面需要验证其他证书的可靠性时,只需要使用这个公钥解密出所对应的私钥加密过的签名,对信息完整性做一个校验,就可以知道要验证的证书是否可信。所以说,根证书是信任链的起点。

根证书 : 在信任链中作为信任锚的起点角色 在密码学和计算机安全领域,根证书(root certificate)是属于根证书颁发机构(CA)的公钥证书,是在公开密钥基础建设中,信任链的起点.

 根证书,是信任链的起点。我们申请的证书,经过根证书的签名,才是可信任的。这时,根证书的安全性就变得非常重要。所以,在信任链设计中,绝大部分的根证书都不会直接为客户签名,而是先签名一个(或多个)中继证书,再由中继证书为客户签名,这可以加强控管能力及控制一旦签名私钥被泄时的损失。

非对称加密 : 是密码学的一种算法,它需要两个密钥,一个是公开密钥,另一个是私有密钥;一个用作加密的时候,另一个则用作解密。使用其中一个密钥把明文加密后所得的密文,只能用相对应的另一个密钥才能解密得到原本的明文;甚至连最初用来加密的密钥也不能用作解密。由于加密和解密需要两个不同的密钥,故被称为非对称加密;不同于加密和解密都使用同一个密钥的对称加密。

 非对称加密是技术基础。
 接下来,我们可以来看下证书的定义格式:

1
2
3
4
5
Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING }

 以上是一种 ASN 语法描述,表示的是证书中包括了:要被签名的证书(tbs = to be signed),签名算法,签名。其中,

1
2
3
4
5
6
7
8
9
10
11
12
TBSCertificate ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo, //包含算法描述和公钥
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3
extensions [3] EXPLICIT Extensions OPTIONAL -- If present, version MUST be v3
}

 要被签名的证书中,包含了它自己的公钥。而且,tbsCertificate 的信息内容,将作为签名函数的输入,生成 signatureValue 。让我们来看一个实例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
//解压一个 apk 包,在 META-INF 夹下运行下面的命令,当然,首先你要安装 openssl 才行。
//openssl pkcs7 -inform DER -in CERT.RSA -noout -print_certs -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
c8:e2:fe:c5:ee:08:ad:f5
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, ST=California, L=Mountain View, O=Android, OU=Android, CN=Android/emailAddress=android@android.com
Validity
Not Before: Dec 3 01:47:50 2013 GMT
Not After : Apr 20 01:47:50 2041 GMT
Subject: C=US, ST=California, L=Mountain View, O=Android, OU=Android, CN=Android/emailAddress=android@android.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c7:02:06:48:be:7c:2d:8a:84:7b:79:14:04:65:
dc:5d:53:06:3e:27:29:8d:76:b4:5b:ec:37:72:95:
f1:b1:6a:72:53:d6:80:46:e1:86:58:c5:4a:30:86:
e0:5e:d1:f1:07:b5:84:59:66:47:9f:04:3d:b5:0f:
e6:a5:12:31:e8:f7:19:4a:77:6f:c0:09:f0:86:0d:
22:55:0b:5a:05:e9:12:27:e5:86:1d:9b:63:81:94:
e5:f3:14:4d:07:01:7f:bc:aa:19:c9:90:f6:d6:51:
77:66:8b:13:92:3f:33:17:b8:6d:1a:e6:53:82:b7:
9d:7c:22:cf:0d:bd:ce:6d:0f:ba:5a:9d:c3:ab:ab:
72:4d:01:3f:4f:54:52:5f:62:ae:58:07:5b:81:12:
2f:4d:41:10:fe:de:b7:45:a9:24:8a:14:6c:4b:89:
04:a0:d1:42:49:0b:8a:75:c2:f2:f8:5b:c0:1a:51:
2a:62:22:5f:ac:6f:4f:cc:e8:f7:16:23:b8:a7:3f:
dc:48:f0:e5:26:c2:0a:2f:e3:88:52:26:cf:6a:48:
2c:41:00:12:67:8c:09:c8:fa:18:51:28:13:75:68:
d0:5c:fe:70:23:e0:e7:3d:73:32:55:a4:6b:1a:bc:
37:5a:e2:b7:2e:55:ed:55:03:c8:3c:36:19:cb:1f:
8f:cb
Exponent: 3 (0x3)
X509v3 extensions:
X509v3 Subject Key Identifier:
44:27:80:B6:31:50:AB:CC:05:1F:18:DC:66:ED:BA:7C:CF:47:CF:74
X509v3 Authority Key Identifier:
keyid:44:27:80:B6:31:50:AB:CC:05:1F:18:DC:66:ED:BA:7C:CF:47:CF:74
DirName:/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com
serial:C8:E2:FE:C5:EE:08:AD:F5

X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: sha1WithRSAEncryption
ac:77:d1:86:a9:5c:29:68:c2:26:4c:bc:05:62:84:fa:25:bf:
30:ce:d3:dd:1c:30:b6:0e:7a:55:64:8b:c6:04:9f:86:f3:66:
c7:79:a4:8a:c4:2d:36:4a:be:b3:bb:db:88:4f:72:24:76:71:
a1:7b:c0:75:00:4f:04:bb:99:8d:d0:eb:d5:42:0f:c3:a5:eb:
b8:34:8c:d9:6c:4a:98:5a:62:72:26:40:c6:1a:53:79:07:9d:
88:60:fd:40:ff:b8:6f:44:9a:95:8d:ad:b6:4c:2b:29:a0:6d:
94:e4:4f:01:29:5d:41:49:17:a9:c4:14:82:b7:63:0b:a8:3f:
d5:d1:18:63:c4:8c:00:29:5f:02:f6:c1:b3:7c:5a:97:5d:ab:
6b:25:6c:d9:9f:bc:ae:31:b5:62:ff:60:36:5f:2e:5d:2d:1f:
cd:31:b9:d1:36:2b:93:dd:c0:9b:23:43:7a:a9:a0:5e:9e:fe:
cc:f2:c4:74:39:0c:84:f8:5a:9e:b0:58:5f:ee:3b:78:4e:54:
a8:14:45:d1:df:25:90:ff:f9:f2:33:b5:33:e6:4b:2c:8a:99:
9d:06:d1:1a:03:18:f7:cf:cd:5f:a4:66:c3:c5:ea:ad:be:2b:
ae:18:67:23:e2:9f:b4:32:d1:ea:71:a9:21:d6:1a:9f:84:c7:
97:e7:c1:e1

 目前,证书的格式和验证方法普遍遵循 X.509 国际标准。

Https 中的签名

 通过这种非对称加密的方式完成了双方对于后面需要使用的对称加密的密钥的协商(非对称加密太消耗资源,所以 https 同时使用了对称加密和非对称加密的方式)。这个协商过程是这样的(图片来源:图解HTTP):

 接下来我们看下实例,由 GlobalSign 颁发给维基百科的证书 :

 顺便说一句,实际上我们可以自己给自己颁发证书。但问题在于浏览器等客户端根本不认你的证书,不具有权威性,它被标记你的网站为不安全的。

1
2
3
4
5
6
7
8
9
10
11
12
//1. 生成私钥
openssl genrsa -des3 -out server.key 2048
//2. 生成 CA 证书
openssl req -new -x509 -key server.key -out ca.crt -days 3650
//3. 生成请求证书文件
openssl req -new -key server.key -out server.csr
//4. 通过请求文件给自己发证书
openssl x509 -req -days 3650 -in server.csr \
-CA ca.crt -CAkey server.key \
-CAcreateserial -out server.crt
// 查看证书中的公钥
openssl x509 -in ca.crt -pubkey -noout

 以上过程,我们就是用自制的 CA 证书,给自己颁发了一个证书。 CA 证书的意义在于像公证处一样,公证后的信息对所有人具有可靠性;但是如果是自制的,就失去了这样的意义。
ca.crt
 颁发信息是自己在创建时随便填的,邮箱信息为 noreplay@gmail.com. 我们看到,此处的颁发者和使用者是同一个实体。这个是我们自建的 CA 证书,显然并没有通过 CA 认证。

servercrt

 这里可以看到,这个证书是通过上面那个 ca.cert 证书认证过的,邮箱为 clientNoReplay@gmail.com,信息也是随便填写的,然而,ca.cert 并没有经过认证,所以,这个 server.crt 也是不受信任的。在浏览器中使用,会被标记为不安全:

 回到 Android 中,Android 要求所有 APK 必须先使用证书(包含公钥)进行数字签名,然后才能安装。通过这种手段,确保应用的所有权,因为证书中公钥相对应的私钥在应用的开发者手中。

为 APK 签名

 APK 的签名,和上面通信过程对签名的使用有些不同。打包所需要的证书并不需要 CA 签署,而是一个自签名的证书。对 APK 的签名,是为了验证:我们是 APK 的拥有者,并可以对 APK 进行后续升级管理,这样自签名证书就足够了。
 签名时,有两种工具可以选择,一种是 java 提供的 jarsigner;另外一种,是 Andoroid 专用的 apksigner 。无论使用哪种方式,都要首先生成私钥:

1
keytool -genkey -v -keystore my-release-key.jks -keyalg RSA -keysize 2048 -validity 10000 -alias my-alias

 现在我们通过 Java 的 keytool 工具生成了别名为 my-alias 的 PrivateKeyEntry ,并把它存储在 my-release-key.jks 文件中。PrivateKeyEntry 包含了一个私钥以及相对应的证书链(我们自己打包时,证书链长度通常为1,我们可以通过证书链获取私钥所对应的公钥)。可以通过以下命令查看:

1
2
3
4
5
6
7
8
9
10
C:\Users\YueGs\Desktop\test\t>keytool -list -keystore my-release-key.jks
输入密钥库口令:

密钥库类型: JKS
密钥库提供方: SUN

您的密钥库包含 1 个条目

my-alias, 2018-5-2, PrivateKeyEntry,
证书指纹 (SHA1): E8:04:09:52:91:EF:E9:30:95:DC:BD:96:32:E8:12:22:AA:37:CC:55

 下面,我们可以通过 jarsinger 来签名了:

1
2
3
// signed.apk 签名后的apk;unsigned.apk ,用来签名的 apk;
// my-alias , 存储在 my-release-key.jks 中 PrivateKeyEntry 的别名
jarsigner -verbose -keystore my-release-key.jks -signedjar signed.apk unsigned.apk my-alias

 在没有打包签名之前,apk 包里是没有 META-INF 文件夹的,而在打包过后,多了这个文件夹,里面包含了验证文件完整性的文件。同样,如果里面已经有了这个文件夹,即已经进行过签名,是无法重复签名的。
 用 apksigner 进行签名,其实也就是一句话的事:

1
apksigner sign --ks my-release-key.jks --out signed.apk unsigned.apk

 注意,apksigner 这个命令是在 “sdk\build-tools\xxx” (xxx 为 android 版本号)文件夹下面。签名之后,META-INF 文件夹中会出现文件 MY-ALIAS.RSA。我们比较一下该文件和 my-release-key.jks 中的信息:

 下面,我们对两种工具做个比较。
 jarsiger 是用 JAR 文件设计的,所以它对 APK 文件结构一无所知,它只会把 APK 当做一个 JAR 文件(原因: apk 实际上是个 zip 压缩包,而 zip 压缩包可以被认为是一个 jar 包)。而 apksigner 是专门为 APK 文件设计的。比如,jarsigner 不知道怎样生成在 Android Nougat 中引入的 Scheme v2 类型的签名,但是 apksigner 可以这么做。jarsigner 对于需要在 API 17 或者以下运行时,不能使用 sha-256 的数字签名,但是 apksigner 知道。
 上面已经提到,当前的签名有两种 Scheme,分别是 v1 和 v2 。这里再做一个简单的介绍。在 Android 7.0 中,可以根据 APK 签名方案 v2(v2 方案)或 JAR 签名(v1 方案)验证 APK。更低版本的平台会忽略 v2 签名,仅验证 v1 签名。v1 和 v2 的区别,根据 **官网 **的说法,大概就是 v2 能够提供对整个 apk 签名(v1 对于 metainf 文件夹下的文件是没有验证的),而且 v2 更加验证过程更快(v1 需要解压 apk 逐条验证)。
APK 签名过程

小结

 这篇文章写的有点久,主要是这一块平时接触的也比较少,所以需要查的资料也比较多。原本想写 Android 中的签名验证机制,后面才发现光是签名部分能说的都太多了。
 签名的底层,是非对称加密,密码学的范畴,非专业人士就不展开了。信任链那部分,我觉得还是挺有意思的。如果 A 是绝对可信的,那么 A 相信并签署的 B 也是可信的,那么 B 相信并签署的 C 也是可信的,以此类推。我们的证书被 Z 相信并签署,因此,也在这条信任链中,也是可信的。

参考
netpayClient.doc
签署您的应用
Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
what-is-the-difference-between-jar-signer-and-apk-signer
https://stackoverflow.com/questions/35706687/why-jarsigner-can-sign-android-apk
APK 验证

© 2024 YueGS