Xác minh ứng dụng/chữ ký của Android hoạt động như thế nào?

Question

Tôi muốn mở đầu câu hỏi này với hai điều để tôi có thể thu hẹp nơi câu hỏi thực tế của tôi là:

a) tôi đã thực hiện phần mềm dev trước đó, mặc dù không bao giờ cho android

b) Tôi quen thuộc với PKI và encryptions và băm và chữ ký số và blah blah blah

Điều đó đang được nói rằng tôi đang gặp sự cố khi theo dõi thêm thông tin về vị trí và cách Android xác minh người sáng tạo ứng dụng. Tôi đã nghe rất nhiều thông tin khác nhau vì vậy tôi đang cố gắng tổng hợp để có ý tưởng tốt hơn về quy trình làm việc.

Tôi biết rằng mọi nhà phát triển ứng dụng đều có cặp khóa riêng/khóa công khai của riêng họ và họ ký ứng dụng của họ bằng cách băm APK (với SHA-1 phần lớn thời gian nếu tôi không nhầm) và ở đó bạn đi. Bạn tải nó lên và (tôi tin) chìa khóa công khai đi vào META INF bên trong APK. Điều này tôi hiểu rất nhiều.

Câu hỏi của tôi là cách điều này liên quan đến thời điểm người dùng tải xuống ứng dụng. Tôi biết kiểm tra điện thoại để đảm bảo rằng ứng dụng được ký hợp lệ và chữ ký cũng có thông tin về tác giả và v.v. Nhưng tôi cũng đã đọc rằng các ứng dụng được tự ký và Google Play (hoặc bất kỳ thứ gì mà họ đang gọi là Market bây giờ) không triển khai CA và không có xác thực danh tính? Nhưng câu hỏi của tôi là những gì, sau đó, ngăn chặn mọi người tải lên một ứng dụng dưới một tên nhà phát triển khác (crowdsourcing sang một bên)?

Nếu điện thoại chỉ kiểm tra chữ ký hợp lệ, điều đó có nghĩa là phương thức xác thực duy nhất được thực hiện khi ứng dụng được tải lên? Và nếu đó là trường hợp thị trường ứng dụng kiểm tra nó như thế nào? Có phải thông thường - sử dụng khóa cá nhân trên tệp và xác minh chữ ký? Hay nhà phát triển có cung cấp cho thị trường khóa riêng của họ để xác thực không?

Answer 1

Tóm lại, Android và Google Play về cơ bản không quan tâm đến những gì trong chứng chỉ thực tế. Google Play sẽ xác thực nó thực sự, và kiểm tra xem nó có hợp lệ trong 30 năm hoặc hơn, nhưng họ không thực sự sử dụng (ít nhất là hiện tại, AFAIK) thông tin thực tế trong cert. Bạn có thể sử dụng tên của riêng bạn/tên công ty trong CN, nhưng không ai sẽ xác thực điều này và người dùng sẽ không thấy thông tin này chút nào. Có gì Android làm là:

• kiểm tra chữ ký để đảm bảo APK đã không bị giả mạo
• sau đó so sánh chứng hát như một blob nhị phân vào một trong những phiên bản hiện đang được cài đặt của ứng dụng để đảm bảo rằng hai phiên bản đã được ký bằng cùng một khóa/chứng chỉ (ví dụ: bởi cùng một người/công ty)
• thực hiện điều tương tự để thực thi quyền nếu bạn đang sử dụng quyền sharedUid hoặc chữ ký với hai hoặc nhiều hơn ứng dụng.

Vì vậy, để trả lời câu hỏi của bạn, ai đó có thể dễ dàng tạo chứng chỉ với tên của bạn trên đó, nhưng Android và Google Play không thực sự quan tâm. Miễn là họ không có khóa riêng của bạn, họ sẽ không thể tạo chữ ký ứng dụng giống với chữ ký của bạn và do đó họ sẽ không thể ghi đè/cập nhật ứng dụng của bạn với ứng dụng của họ hoặc nhận bất kỳ quyền đặc biệt nào .