Android签名机制

MANIFEST.MF：对文件内容做一次SHA1算法，就是计算出文件的摘要信息,然后用Base64进行编码；

CERT.SF：对MANIFEST.MF文件整个内容做一个SHA1放到SHA1-Digest-Manifest字段中，再对                                   MANIFEST.MF文件中的每个条目内容做一次SHA,然后用Base64进行编码保存；

CERT.RSA ：CERT.SF文件， 用私钥计算出签名, 然后将签名以及包含公钥信息的数字证书一同写入。

为何要这么来签名？

上面我们就介绍了签名apk之后的三个文件的详细内容，那么下面来总结一下，Android中为何要用这种方式进行加密签名，这种方加密是不是最安全的呢？下面我们来分析一下，如果apk文件被篡改后会发生什么。

首先，如果你改变了apk包中的任何文件，那么在apk安装校验时，改变后的文件摘要信息与MANIFEST.MF的检验信息不同，于是验证失败，程序就不能成功安装。

其次，如果你对更改的过的文件相应的算出新的摘要值，然后更改MANIFEST.MF文件里面对应的属性值，那么必定与CERT.SF文件中算出的摘要值不一样，照样验证失败。

最后，如果你还不死心，继续计算MANIFEST.MF的摘要值，相应的更改CERT.SF里面的值，那么数字签名值必定与CERT.RSA文件中记录的不一样，还是失败。

那么能不能继续伪造数字签名呢？不可能，因为没有数字证书对应的私钥。

所以，如果要重新打包后的应用程序能再Android设备上安装，必须对其进行重签名。

从上面的分析可以得出，只要修改了Apk中的任何内容，就必须重新签名，不然会提示安装失败，当然这里不会分析，后面一篇文章会注重分析为何会提示安装失败。