iOS App签名原理

为了确保安装到手机上的应用是经过认证的合法应用，以及能够根据应用得知其发布者，苹果制定了一个签名机制，所有安装到设备中的应用必须是拥有合法签名的应用。

一、app包

一个完整的app包包含如下文件：

• 描述文件
• 可执行文件

• 签名信息

  
  
  app

二、 CertificateSigningRequest.certSigningRequest

这个生成的文件中包含哪些信息呢？使用如下命令查看文件的内容,其中包含:

• 申请者信息
• 申请者公钥(和申请者使用的私钥对应)
• 摘要算法和公钥加密算法

openssl asn1parse -i -in /Users/zy/Desktop/CertificateSigningRequest.certSigningRequest 

zydeMacBook-Pro:Desktop zy$ openssl asn1parse -i -in /Users/zy/Desktop/CertificateSigningRequest.certSigningRequest 
    0:d=0  hl=4 l= 636 cons: SEQUENCE          
    4:d=1  hl=4 l= 356 cons:  SEQUENCE          
    8:d=2  hl=2 l=   1 prim:   INTEGER           :00
   11:d=2  hl=2 l=  55 cons:   SEQUENCE          
   13:d=3  hl=2 l=  27 cons:    SET               
   15:d=4  hl=2 l=  25 cons:     SEQUENCE          
   17:d=5  hl=2 l=   9 prim:      OBJECT            :emailAddress
   28:d=5  hl=2 l=  12 prim:      IA5STRING         :[email protected]
   42:d=3  hl=2 l=  11 cons:    SET               
   44:d=4  hl=2 l=   9 cons:     SEQUENCE          
   46:d=5  hl=2 l=   3 prim:      OBJECT            :commonName
   51:d=5  hl=2 l=   2 prim:      UTF8STRING        :zy
   55:d=3  hl=2 l=  11 cons:    SET               
   57:d=4  hl=2 l=   9 cons:     SEQUENCE          
   59:d=5  hl=2 l=   3 prim:      OBJECT            :countryName
   64:d=5  hl=2 l=   2 prim:      PRINTABLESTRING   :CN
   68:d=2  hl=4 l= 290 cons:   SEQUENCE          
   72:d=3  hl=2 l=  13 cons:    SEQUENCE          
   74:d=4  hl=2 l=   9 prim:     OBJECT            :rsaEncryption
   85:d=4  hl=2 l=   0 prim:     NULL              
   87:d=3  hl=4 l= 271 prim:    BIT STRING        
  362:d=2  hl=2 l=   0 cons:   cont [ 0 ]        
  364:d=1  hl=2 l=  13 cons:  SEQUENCE          
  366:d=2  hl=2 l=   9 prim:   OBJECT            :sha256WithRSAEncryption
  377:d=2  hl=2 l=   0 prim:   NULL              
  379:d=1  hl=4 l= 257 prim:  BIT STRING  

三、描述文件

描述文件中包含哪些信息呢？使用如下命令查看文件的内容,其中包含:

• App ID
• Entitlements授权文件
• 使用的证书
• 可安装的设备列表

security cms -D -i /Users/zy/Desktop/embedded.mobileprovision

由于信息太多，所以新建plist文件查看信息如下:

描述文件

四、授权文件

授权文件（Entitlements）是一个沙盒的配置列表，其中列出了哪些行为会被允许，哪些行为会被拒绝。例如，在重签应用中常常需要调试器自动附件，这时就需要在授权文件里面将get-task-allow设置为true。使用如下命令查看：

codesign -d --entitlements - text.app

MacBook-Pro:Debug-iphoneos zy$ codesign -d --entitlements - text.app
Executable=/Users/zy/Library/Developer/Xcode/DerivedData/text-cpghbjvznzcobegcryhayxypxuvw/Build/Products/Debug-iphoneos/text.app/text
??qq?



    application-identifier
    W2QAY558X9.zy.text
    com.apple.developer.team-identifier
    W2QAY558X9
    get-task-allow
    
    keychain-access-groups
    
        W2QAY558X9.zy.text
    


MacBook-Pro:Debug-iphoneos zy$ 

五、签名信息

4.1 签名信息分为两份:

1. _CodeSignature: 它的作用是用来判断一个应用程序是否完好无损，能够防止不小心修改或损坏资源文件。

2. 在可执行文件中也有，如下:

   
   
   可执行文件

六、 签名过程

先上图:

签名过程

解释一下流程，需要分解三个角色：

• Mac 电脑：内置了公钥M以及私钥M
• 苹果服务器：私钥A
• iPhone手机：内置公钥A

第一步：

通过电脑上的公钥M传到苹果服务器。这里就是通过电脑生成的CSR文件申请证书，其中包含了开发者信息等。

第二步：

苹果服务器通过私钥A对公钥M进行一次加密生成证书，证书中包括公钥M以及公钥M的HASH。

第三步：

在苹果后台申请 AppID，配置好设备ID列表和 APP可使用的权限，再加上第二步的证书，组成的数据用私钥 A 签名，把数据和签名一起组成一个 Provisioning Profile文件，下载到本地 Mac电脑。
通过Provisioning Profile文件,苹果就可以限制可安装的设备数量和指定 APP，避免滥用

第四步:

编译完一个 APP 后，用本地的私钥 M 对这个 APP 进行签名，同时把第三步得到的 Provisioning Profile 文件打包进 APP 里，文件名统一为embedded.mobileprovision。

第五步：

在安装时，iPhone手机通过内置的公钥 A，去验证 embedded.mobileprovision 的数字签名是否正确，里面的证书签名也会再验一遍。

七、参考:

iOS包签名原理
iOS 浅谈 APP ipa包的结构