安卓apk签名及相关工具(keytool、jarsigner 、zipalign)的使用

keytool

keytool工具 是一个Java 数据证书的管理工具，它是JDK自带的一个在命令行下执行的程序。

常用命令：

genkey 生成密钥对（公钥和私钥）
-v 显示密钥库中的证书详细信息
-alias 秘钥的别名，只有前8个字符有效
-keyalg 生成秘钥的算法，支持DSA和RSA
-keysize 生成秘钥的位数，默认1024位，建议使用2048以上的位数
-dname 发布者名称，如未指定，在使用jarsigner签名时会提示输入
-keypass 秘钥的密码
-validity 密钥的有效期是多少天
-storepass keystore的密码

如下是使用Keytool生成keystore文件，使用RSA算法，秘钥长度为4096位

    keytool -genkey -keystore my-release-key.keystore -alias my_alias -keyalg RSA -keysize 4096 -validity 10000 

运行结果

生成的过程中会让我们填写一些信息，如密码、城市等，生成的keystore文件默认在当前目录下。

---

jarsigner

Android系统中的签名算法使用MD5作为哈希算法并使用RSA进行加密和解密，计算apk的哈希算法使用SHA-1

常用命令：

-keystore .keystore keystore路径
-signedjar .apk 签名后apk文件输出路径
-verbose 输出详细信息
-sigalg <算法> 签名算法
-digestalg <算法> 处理apk使用的哈希算法
-verify 验证已签名的jar文件

我们通过工具导出一个未经过签名的apk文件，为其签名

• 通过Eclipse:
  右键单击项目名称，选择AndroidTools→Export Unsinged Application Package

• 通过AndroidStudio
  在找到项目右侧的Gradle按钮，点击打开
  在打开的窗口中找到项目名对应的Gradle,依次进入Tasks→build，点击assemble进行生成
  生成后的apk文件在moudle的build/outputs/apk目录下，文件名包含unsigned的apk文件即是生成的未签名apk文件

jarsigner -sigalg MD5withRSA -digestalg SHA1 -keystore my-release-key.keystore  -signedjar my_application_signed.apk my_application_unsigned.apk my_alias

签名结果

如图所示，虽然我们签名成功了。但是会提示警告：

警告:
No -tsa or -tsacert is provided and this jar is not timestamped. Without a timestamp, users may not be able to validate this jar after the signer certificate's expiration date (2045-10-02) or after any future revocation date.

大概意思是说，未提供 -tsa 或 -tsacert, 此 jar 没有时间戳。如果没有时间戳, 则在签名者证书的到期或以后的任何撤销日期之后，用户可能无法验证此jar。

解决此问题的方法就是在命令后面添加时间戳网址，完整命令如下：

jarsigner -sigalg MD5withRSA -digestalg SHA1 -keystore my-release-key.keystore  -signedjar my_application_signed.apk my_application_unsigned.apk my_alias -tsa http://sha256timestamp.ws.symantec.com/sha256/timestamp 

网上大部分让加的-tsa https://timestamp.geotrust.com/tsa 会提示无法对 jar 进行签名: 时间戳颁发机构没有响应。
原因是这个时间戳网址已经过期了

我们可以通过如下命令进行验证签名是否成功：

jarsigner -verify my_application_signed.apk

如果你使用的是一个签过名的apk文件，执行重签名会报如下错误：

jarsigner: 无法对 jar 进行签名: java.util.zip.ZipException: invalid entry compressed size
如果有重签名(与之前签名不同)的需求，可以把要重签名的apk后缀改成zip，打开后删除里面的META-INF目录，然后重新改成apk后缀，再次进行签名

---

zipalign

签名之后，我们还可以使用zipalign工具对安装包进行对齐优化，这样能够让应用程序和整个系统运行得更快

开发工具进行zipalign非常方便：

• Eclipse中的ADT插件(0.9.3及以上版本）可以自动zipalign对齐：
  右键单击项目名称，选择AndroidTools→Export Signed Application Package

• Android studio在build.gradle文件中加入zipAlignEnabled true 开启zipalign对齐:

    buildTypes {
        release {
            ...
            zipAlignEnabled true
            ...
        }
    }

• 手动zipalign对齐:
  Android 1.6及以后的SDK的 build-tools/版本/ 文件夹下都有zipalign工具。例如我的路径是：

C:\Users\hanpeng\AppData\Local\Android\Sdk\build-tools\23.0.1\zipalign.exe

在签名后使用以下命令进行zipalign对齐:

zipalign -v 4 my_application_signed.apk my_application_signed_zipaligned.apk

对齐验证：

zipalign -c -v 4 my_application_signed_zipaligned.apk

zipalign对齐结果

---

参考：
《Android安全机制解析与应用实践》 第八章 Android应用安全实用解决方案