iOS逆向开发(五)----iOS签名机制
根据密钥的使用方法,可以将密码分为2种:
- 对称密码
- 公钥密码(非对称密码)
对称密码
在对称密码中,加密、解密时使用的是同一个密钥,常见的对称密码算法有:DES,3DES,AES.
DES(Data Encryption Standard)
DES是一种将64bit明文加密成64bit密文的对称密码算法,密钥长度是56bit,规格上来说,密钥长度是64bit,但每隔7bit会设置一个用于错误检查的bit,因此密钥长度实质上是56bit,由于DES每次只能加密64bit的数据,遇到比较大的数据,需要对DES加密进行迭代(反复),目前已经可以在短时间内被破解,所以不建议使用.
3DES
3DES,将DES重复3次所得到的一种密码算法,也叫做3重DES,目前还被一些银行等机构使用,但处理速度不高,安全性逐渐暴露出问题.
AES(Advanced Encryption Standard)
取代DES成为新标准的一种对称密码算法, AES的密钥长度有128、192、256bit三种,在2000年时选择Rijindael算法作为AES的实现,目前AES,已经逐步取代DES、3DES,成为首选的对称密码算法,一般来说,我们也不应该去使用任何自制的密码算法,而是应该使用AES,它经过了全世界密码学家所进行的高品质验证工作.
公钥密码(Public-key Cryptography)
公钥密码中,密钥分为加密密钥、解密密钥2种,它们并不是同一个密钥,公钥密码也被称为非对称密码(Asymmetric Cryptography),在公钥密码中,加密密钥,一般是公开的,因此该密钥称为公钥(public key),解密密钥,由消息接收者自己保管的,不能公开,因此也称为私钥(private key),公钥和私钥是一 一对应的,是不能单独生成的,一对公钥和密钥统称为密钥对(key pair),由公钥加密的密文,必须使用与该公钥对应的私钥才能解密,由私钥加密的密文,必须使用与该私钥对应的公钥才能解密.
RSA
目前使用最广泛的公钥密码算法是RSA, RSA的名字,由它的3位开发者,即Ron Rivest、Adi Shamir、Leonard Adleman的姓氏首字母组成.
混合密码系统(Hybrid Cryptosystem)
对称密码的缺点:不能很好地解决密钥配送问题,公钥密码的缺点:加密解密速度比较慢.
混合密码系统,是将对称密码和公钥密码的优势相结合的方法,解决了公钥密码速度慢的问题,并通过公钥密码解决了对称密码的密钥配送问题,网络上的密码通信所用的SSL/TLS都运用了混合密码系统.
会话过程为:A代表发送者,B代表接受者
- 1.事先B生成一对公钥和私钥,将公钥发送给A.
- 2.A随机生成一个会话密钥,加密消息,A用B的公钥加密会话密钥,将加密消息和加密会话密钥一共发送给B.
- 3.B用私钥解密加密过的会话密钥.
- 4.B再用会话密钥加密加密过的消息.
单向散列函数(One-way hash function)
单向散列函数,可以根据根据消息内容计算出散列值,散列值的长度和消息的长度无关,无论消息是1bit、10M、100G,单向散列函数都会计算出固定长度的散列值,根据任意长度的消息,计算出固定长度的散列值,计算速度快,能快速计算出散列值,消息不同,散列值也不同,具备单向性.
单向散列函数,又被称为消息摘要函数(message digest function),哈希函数
输出的散列值,也被称为消息摘要(message digest)、指纹(fingerprint).
常见的几种单向散列函数:
- MD4、MD5:产生128bit的散列值,MD就是Message Digest的缩写,目前已经不安全.
- SHA-1:产生160bit的散列值,目前已经不安全.
- SHA-2: SHA-256、SHA-384、SHA-512,散列值长度分别是256bit、384bit、512bit.
- SHA-3:全新标准.
数字签名
数字签名,其实就是将公钥密码反过来使用,就是用私钥签名,公钥验证.
会话过程为:A代表发送者,B代表接受者
- 1.A生成一对公钥和私钥,将公钥发给B.
- 2.A用单向散列函数,将消息生成一个散列值,在用自己的私钥加密散列值,生成签名和消息发送给B.
- 3.B用A的公钥解密签名,得到散列值和发送的消息得来的散列值比较,是否为A发送的消息.
数字签名的作用:确认消息的完整性,识别消息是否被篡改,防止消息发送人否认.
但是数字签名无法解决的问题是:用于验证签名的公钥必须属于真正的发送者.可以用证书解决此问题.
证书(Certificate)
密码学中的证书,全称叫公钥证书(Public-key Certificate,PKC),里面有姓名、邮箱等个人信息,以及此人的公钥,并由认证机构(Certificate Authority,CA)施加数字签名,CA就是能够认定“公钥确实属于此人”并能够生成数字签名的个人或者组织.
iOS签名机制
iOS签名机制的作用:保证安装到用户手机上的APP都是经过Apple官方允许的.不管是真机调试,还是发布APP,开发者都需要经过一系列复杂的步骤.
- 1.生成CertificateSigningRequest.certSigningRequest文件
- 2.获得ios_development.cer\ios_distribution.cer证书文件
- 3.注册device、添加App ID
- 4.获得*.mobileprovision文件
这里的苹果充当了CA,签名流程为:
- 1.我们用自己Mac公钥对我们app进行签名.
- 2.苹果用自己的Apple私钥对Mac公钥.(CertificateSigningRequest.certSigningRequest)进行签名生成cer证书文件.
- 3.苹果再自己的Apple私钥在对cer证书,我们添加的device,Apple ID和各种entitlements进行签名,生成mobileprovision文件
- 4.将mobileprovision和前面签名过的app生成ipa安装包.
由于我们手机中已经存在Apple公钥,其验证过程为:
- 1.用Apple公钥解密mobileprovision得到cer证书,及其device,App ID, entitlements是否匹配.
- 2.再用Apple公钥解密cer得到Mac公钥.
- 3.再用Mac公钥解密app,验证app是否被人修改过.
