Android之数字签名、数字证书

注意：本篇文章是本人阅读相关文章所写下的总结，方便以后查阅，所有内容非原创,侵权删。

本篇文章内容来自于:
Android安全加密：数字签名和数字证书

目录

1. 数字签名
   --1.1 什么是数字签名
   --1.2 数字签名过程
   --1.3 数字签名代码实现
2. 数字证书
   --2.1 什么是数字证书
   --2.2 数字证书格式
   --2.3 数字证书原理
   --2.4 生成数字证书
3. Android签名机制
   --3.1 Android上的签名是什么样的？
   --3.2 Android为什么要签名？
   --3.3 尽可能使用同一个签名

1. 数字签名

1.1 什么是数字签名

数字签名是非对称加密与数字摘要的组合应用

应用场景：

• 校验用户身份（使用私钥签名，公钥校验，只要用公钥能校验通过，则该信息一定是私钥持有者发布的）
• 校验数据的完整性（用解密后的消息摘要跟原文的消息摘要进行对比）

1.2 数字签名过程

发送报文时，发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密，这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方，
接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，接着再用发送方的公用密钥来对报文附加的数字签名进行解密，如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。

数字签名有两种功效：
一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。
二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字摘要的值也将发生变化。不同的文件将得到不同的数字摘要。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。

1.3 数字签名代码实现

        String content = "dkjfaldfjdws";
        String content1 = "dkjfaldfjdwsda";
        //获得私钥和公钥
        KeyPair keyPair = KeyPairGenerator.getInstance("RSA").generateKeyPair();
        PrivateKey privateKey = keyPair.getPrivate();
        PublicKey publicKey = keyPair.getPublic();

        //===进行数字签名===
        //获取signature 对象，初始化算法：MD2withRSA, MD5withRSA, or SHA1withRSA
        Signature signature = Signature.getInstance("MD5withRSA");
        //使用私钥进行初始化
        signature.initSign(privateKey);
        //传入需要签名的数据
        signature.update(content.getBytes());
        //执行签名
        byte[] sign = signature.sign();

        //===校验签名===
        //使用公钥进行初始化
        signature.initVerify(publicKey);
        //传入需要校验的数据（即上面的原文）
        signature.update(content1.getBytes());
        //执行校验
        boolean verify = signature.verify(sign);
        Log.d("xl", verify+"");

数字签名一般不单独使用，基本都是用在数字证书里实现SSL 通信协议。

2. 数字证书

2.1 什么是数字证书

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet 上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA 机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

应用场景

• 交易者身份的确定性、不可否认性、不可修改性
• 对应用进行签名认证（例如Android 的apk）

2.2 数字证书格式

数字证书的格式普遍采用的是X.509V3 国际标准，一个标准的X.509 数字证书包含以下一些内容：

• 证书的版本信息
• 证书的序列号，每个证书都有一个唯一的证书序列号
• 证书所使用的签名算法
• 证书的发行机构名称，命名规则一般采用X.500 格式
• 证书的有效期，通用的证书一般采用UTC 时间格式，它的计时范围为1950-2049
• 证书所有人的名称，命名规则一般采用X.500 格式
• 证书所有人的公开密钥
• 证书发行者对证书的签名

2.3 数字证书原理

数字证书是安全领域里的终极武器，SSL 通信协议里最核心的东西就是数字证书。他涉及到前面提到的所有知识：对称加密、非对称加密、消息摘要、数字签名等。

2.4 生成数字证书

数字证书可以通过java 自带的KeyTool 工具生成，生成后的数字证书一般保管在KeyStore 里。KeyStore可以叫做秘钥仓库。

关于keytool的使用可以百度，或者参考Android安全加密：数字签名和数字证书

秘钥仓库可以保管3 种类型的数据：KeyStore.PrivateKeyEntry（非对称机密里的私钥）、KeyStore.SecretKeyEntry （对称加密里的秘钥）、KeyStore.TrustedCertificateEntry（受信任的证书）

3. Android签名机制

3.1 Android上的签名是什么样的？

Android要求所有已安装的应用程序都使用数字证书做数字签名，数字证书的私钥由开发者持有。

没有正确签名的应用，Android系统不会安装或运行。

debug版本有debug.keystore证书
release版本有自己创建的证书(打包的时候设置)

3.2 Android为什么要签名？

签名可以保证相同包名但是签名不同的包不被替换。
应用如果使用一种key签名，另外一个key签名的文件将无法安装或覆盖老的版本，防止已安装的应用被恶意的第三方覆盖或替换。

3.3 尽可能使用同一个签名

同一个开发者的多个程序尽可能使用同一个数字证书，这可以带来以下好处。

• 有利于程序升级，当新版程序和旧版程序的数字证书相同时，Android 系统才会认为这两个程序是同一个程序的不同版本。如果新版程序和旧版程序的数字证书不相同，则Android 系统认为他们是不同的程序，并产生冲突，会要求新程序更改包名。
• 有利于程序的模块化设计和开发。Android 系统允许拥有同一个数字签名的程序运行在一个进程中，Android程序会将他们视为同一个程序。所以开发者可以将自己的程序分模块开发，而用户只需要在需要的时候下载适当的模块。