iOS 签名 机制分析

前言：最近看了篇关于iOS签名机制的文章，不熟悉iOS签名 或者只知道一些简单的签名操作的话可以看一看，有什么错误请批评指正。

1.首先要了解下一些基础知识：对称密码，非对称密码（公钥密码），数字签名

a: 对称密码，例如 DES 3DES AES ，对称密码会有密钥配送问题

b:公钥密码 ：例如RSA；加密密钥 ，一般都是公开的，因此该密钥成为公钥。解密密钥，由消息接受者自己保管， 不能公开，也称为私钥。公钥私钥是—对应的，是不能单独生成的，一对公钥密钥统称为密钥对。

c:单项散列函数,也就是哈希函数，散列值。

2.数字签名的作用是为了保证机密性，紧紧是为了识别内容是否被篡改，确认消息的完整性。防止消息发送人否认。

数字签名

3.iOS签名阶段

1.首先我们的xcode  command+b编译成功的时候会对代码进行签名（codesign），此时xcode会用Mac电脑的私钥进行签名，放置在ipa包里面。

代码签名

2.真机安装我们需要.mobileprovision文件来安装。那么这个文件里面包含什么信息呢？ .mobileprovision包含着  mac证书的签名、些devices id、 bound id、apple id、entitlements 等信息。下面我们来回顾下生成mobileprovision文件需要的流程。

2.1 >首先需要一个CertificateSigningRequest.certSigningRequest文件，这个是从钥匙串里面颁发的一个证书请求，其实这个就是mac电脑的公钥。

2.2>然后生成一个开发/发布证书。

创建证书

2.2 >创建 dentifiers，这个是app的唯一标示，步骤不多说了。

2.3>添加设备id。手机链接mac，command + shift + 2  打开控制台 看到设备id，在后台操作添加

查看设备id

2.4 > （这是重点）生成mobileprovision文件。生成mobileprovision需要你的开发/发布证书，添加设备id，和选择你的app dentifiers。来生成，这里面到底apple到底做了什么呢？

2.4.1 > 每台iphone 设备上都会储存apple的公钥，而apple的私钥在apple的后台管理着，apple在签名中充当的角色就是相当于一个CA机构，来确认我们的证书是否有效。

2.4.2 > 生成mobileprovision的时候，apple会将MAC的公钥 用apple的私钥进行加密生成一个加密证书，然后在加上你的那些设备id，app dentifiers等信息，包裹在一起，然后将这一堆再次用apple私钥加密就生成了mobileprovision文件的最终形态，也会放置在ipa包里面。

签名阶段

3，验证签名阶段

3.1>验证签名阶段，ipa安装的时候回进行验证签名，首先用储存在apple手机的 apple 公钥进行对mobileprovision文件的一次验证签名，会得到device app id 等下信息，然后用apple的公钥再次对加密证书进行二次验证签名。这时候mac电脑的公钥就会被验证。ipa包里面会有你自己mac私钥生成的代码签名，这时候用mobileprovision获得的mac公钥 跟 代码签名的私钥进行匹配，如果匹配成功说明，代码并没有被篡改，可以安装。否则安装失败。

验证签名阶段

这样app就被允许安装在iphone手机上，达到真机调试。并且你必须经过apple才能达到安装在手机上的目的，从而达到了apple监控的目的。

整个流程图过程

小结： apple的签名机制确实很完美，既有效防止了中间人攻击，还能监控app。

值得注意的是 apple store下载安装的app 并没有这么复杂，因为既然能够在appstore安装，说明你的ipa是经过验证的，并不需要mobileprovision来验证。 企业级开发证书也是这个道理只不过apple私钥换成了你的企业账号私钥。

appstore 签名流程

码字不易，如有错误的地方请指正 QQ:38251725