探讨iOS应用签名之前,首先我们需要了解一个东西,叫做数字签名。
数字签名
名词解释:为什么用签名这个词,因为老外喜欢用支票,支票上面的签名能够证明这玩意是你的。那么数字签名顾名思义,就是用于鉴别数字信息的方法。
我们来思考一下,想要证明数字信息(二进制数据,或计算机里面的任意数据)的有效性,那么使用什么方式最合适呢?
可以想到有信息指纹之称的HASH算法。在网络数据传输的过程中,我们可以将明文数据,和数据的HASH值一起传输给对方,对方可以拿出HASH值来进行验证。
但是在这个过程中,明文数据和HASH值如果直接传输就都有被篡改的风险,所以我们需要对数据进行加密。
明文数据有时会比较大,不适合使用RSA非对称加密算法,但是数据的HASH值是比较小的,用于校验的,它完全可以使用RSA来加密。所以在数据传输时,我们将明文数据加上通过RSA加密的校验数据一并传输给对方。这个通过RSA加密的校验数据,我们称之为签名。
数字签名的验证过程
当对方拿到数据之后,如何进行验证呢?
首先传输数据时会将原始的数据和数字签名一起发送。
对方拿到数据后,先进行校验。拿到原始数据,通过同样的HASH算法得到数据的HASH值。然后通过非对称加密,将数字签名中校验HASH值解密出来。
最后对比两个HASH值是否一致,这样可以很好的判断数据是否被篡改。
代码签名
名词解释:代码签名是对可执行文件或脚本进行数字签名。用来确认软件在签名后未被修改或损坏的措施,和数字签名原理一样,只不过签名的数据是代码而已。
简单的代码签名
在iOS出来之前,以前的主流操作系统(Mac/Windows)软件随便从哪里下载都能运行,系统安全存在隐患,盗版软件,病毒入侵,静默安装等等。苹果希望解决这样的问题,保证每一个安装到iOS上的App都是经过苹果官方允许的,怎样保证呢?就是通过代码签名。
如果要实现验证,最简单的方式就是通过苹果官方生成非对称加密的一对公私钥。在iOS系统中内置一个公钥,私钥由苹果后台保存,我们传App到App Store时,苹果后台用私钥对App进行签名,iOS系统下载这个App后,用公钥验证这个签名,若签名正确,这个App肯定是由苹果后台认证的,并且没有被修改过,也就达到了苹果的需求:保证安装的每一个App都是经过苹果官方允许的。
如果我们iOS设备安装App只有App Store这一个入口,这件事就解决了。但是实际上iOS安装App还有其他渠道,比如对于iOS开发者而言,是需要在开发App时直接真机调试的。而且苹果还开放了企业内部分发的渠道,企业证书签名的App也是需要顺利安装的。
苹果需要开发这些方式安装App,这些需求就无法通过简单的代码签名来做到了。
苹果的需求:
1.安装包不需要上传到App Store,可以直接安装到手机上。
2.苹果为了保证系统的安全性,又必须对安装的App有绝对的控制权。
3.经过苹果允许才可以安装。
4.不能被滥用导致非开发App也能被安装。
为了实现以上需求,iOS签名的复杂度也就开始增加了,苹果这里给出的方案是双层代码签名。
双层代码签名
iOS的双层代码签名流程这里简单梳理一下,这也不是最终的iOS签名原理。iOS的最终签名原理在这个基础上还要稍微加点东西,文末会讲。
首先这里有两个角色,一个是iOS系统,还有一个就是我们的Mac系统。因为iOS的App开发环境在Mac系统下。所以这个依赖关系成为了苹果双层签名的基础。
1.在Mac系统中生成非对称加密算法的一对公钥\私钥(Xcode帮忙代办了),这里称为公钥M、私钥M。M=Mac
2.苹果自己有固定的一对公私钥,跟之前App Store原理一样,私钥在苹果后台,公钥在每个iOS系统中。这里称之为公钥A,私钥A。A=Apple
3.把公钥M以及一些你开发者的信息,传到苹果后台(这个就是CSR文件),用苹果后台里的私钥A去签名公钥M。得到一份数据包含了公钥M以及其签名,把这份数据称为证书。
4.在开发时,编译完一个App后,用本地的私钥M(今后你导出的P12)对这个App进行签名,同时把第三步得到的证书一起打包进App里,安装到手机上。
5.在安装时,iOS系统取得证书,通过系统内置的公钥A,去验证证书的数字签名是否正确。
6.验证证书后确保了公钥M是苹果认证过的,再用公钥M去验证App的签名,这里就间接验证了这个App安装行为是否经过苹果官方允许。(这里只验证安装行为,不验证App是否被改动,因为开发阶段App内容总是不断变化的,苹果不需要管。)
有了上面的过程,已经可以保证开发者的认证,以及程序的安全性了。但是,你要知道iOS的程序,主要渠道是要通过App Store才能分发到用户设备的,如果只有上述的过程,那岂不是只要申请了一个证书,就可以安装到所有的iOS设备了?所以为了防止滥用,苹果再加了几个限制。这就是我们后面要讲的。