Android 理解/生成/使用/查看 签名(V1-V4)

该文章主要针对于android签名部分进行较为详细的说明，旨在理解签名的整体使用体系及keytool和apksigner的常见用法，重在实践意义。

---

1 签名的理解（V1 V2 V3 V4签名）

在 Android 应用签名中，V1 V2 V3 V4签名是不同的签名方案，具体描述如下：

• V1 签名（JAR 签名）：早期 Android 应用签名的基本形式，基于 Java 签名（JAR 签名）规范。它将应用的整个 APK 文件作为一个整体进行签名，包括应用的所有内容（包括清单文件、资源文件和代码文件等）。V1 签名使用了基于 MD5 和 SHA1 的哈希算法，以及 RSA 或 DSA 加密算法。
• V2 签名（APK 签名方案 v2+）：Android 7.0（API 级别 24）及更高版本引入的新签名方案。它采用了一种增量签名的方法，只对 APK 内容的部分进行签名，而不是整个 APK 文件。这种增量签名可以提供更好的签名效率和验证性能，并且不会破坏 APK 的完整性。V2 签名使用了基于 SHA256 的哈希算法，并采用 ECDSA（椭圆曲线数字签名算法）进行签名。它还提供了对 APK 文件进行验证和完整性检查的机制，以确保 APK 在传输和安装过程中没有被篡改。V2 签名是对 V1 签名的增强，而不是互斥的。在支持 V2 签名的设备上，应用将同时包含 V1 和 V2 两种签名方案，以保证在各种设备上的兼容性和验证方式。V2 签名是在 V1 签名基础上引入的增强方案，提供了更好的效率和安全性。
• V3 签名（APK 签名方案 v3+）： Android 9.0（API 级别 28）及更高版本引入的新签名方案。它是对 V2 签名的进一步增强。V3 签名采用了更强大的签名算法（基于 RSA 或 ECDSA）和更长的密钥长度，以提供更高的安全性。V3 签名与 V2 签名类似，仍然采用增量签名的方式，只对 APK 内容的部分进行签名。V3 签名在验证和完整性检查方面与 V2 签名相似，但它还提供了一些额外的安全特性，例如签名块的完整性保护和签名的附加时间戳。需要注意的是，V3 签名是可选的，应用可以同时包含 V1、V2 和 V3 三种签名方案。V3 签名的引入进一步提升了应用的安全性和验证机制，同时确保了对旧版 Android 设备的兼容性。开发者可以选择在构建应用时使用 V3 签名来提高应用的安全性水平。
• V4 签名（APK 签名方案 v4+）： Android 11.0 引入，用来支持 ADB 增量 APK 安装。v4 签名基于根据 APK 的所有字节计算得出的 Merkle 哈希树。它完全遵循 fs-verity 哈希树的结构（例如，对salt进行零填充，以及对最后一个分块进行零填充。）Android 11 将签名存储在单独的 [apk name].apk.idsig 文件中。v4 签名需要 v2 或 v3 签名作为补充。运行 adb install --incremental 命令时，adb 会要求 .apk.idsig 文件存在于 .apk 旁边。默认情况下，它还会使用 .idsig 文件尝试进行增量安装；如果此文件缺失或无效，该命令会回退到常规安装。

应用签名 | 对应官方文档链接如下：

• 签名的概述：android 官方文档 概述
• V2签名：android 官方文档 V2签名
• V3签名：android 官方文档 V3签名
• V4签名：android 官方文档 V4签名

这些官方文档更易于理解应用签名这件事儿。

2 签名的生成

2.1 keytool工具简介

签名的生成主要通过Android Studio/工具keytool使用（普通签名）或者Android Framework生成（主要针对系统签名）。这里的Keytool是Android开发工具包（Android SDK）中的一个工具，用于生成和管理数字证书、密钥对和证书请求。它是一个命令行工具，用于执行与密钥和证书相关的操作，例如创建密钥存储、生成密钥对、导出证书等。

Android Keytool的一些常见用途和功能如下：

• 生成密钥对：Android Keytool可以生成公钥和私钥对，这对密钥可以用于加密、解密和数字签名等操作。
• 创建密钥存储：Keytool可以创建一个密钥存储文件（KeyStore），它是一个加密的容器，用于存储密钥和证书。密钥存储可以是一个单独的文件，也可以是操作系统的密钥库。
• 管理证书：使用Keytool可以管理数字证书，包括查看证书的详细信息、导出证书、导入证书等。证书通常用于验证数字签名和建立安全连接。
• 生成证书请求：Keytool可以生成一个证书请求（Certificate Signing Request，CSR），用于向证书颁发机构（Certificate Authority，CA）申请数字证书。CSR包含有关实体（例如应用程序或网站）的信息，以便CA可以验证并颁发相应的证书。
• 导入和导出密钥对：Keytool允许将密钥对导出到文件，以便在其他系统中使用。它还可以导入其他系统生成的密钥对，以便在Android应用程序中使用。
• 验证证书链：Keytool可以验证证书链，即由多个证书组成的层次结构。它可以验证证书的有效性、完整性和合法性。

2.2 keytool常用命令整理

2.2.1 生成密钥对

$keytool -genkeypair -alias myalias -keyalg RSA -keysize 2048 -keystore keystore.jks
-genkeypair：生成密钥对的命令。
-alias myalias：指定密钥对的别名myalias。
-keyalg RSA：指定密钥算法为RSA算法。
-keysize 2048：指定密钥长度为2048位。
-validity 365 有效期365天,默认90天
-keystore keystore.jks：指定密钥库文件名为keystore.jks。

2.2.2 导出证书

$keytool -exportcert -alias myalias -keystore keystore.jks -file certificate.crt
-exportcert：导出证书的命令。
-alias myalias：指定要导出的证书的别名。
-keystore keystore.jks：指定密钥库文件名为keystore.jks。
-file certificate.crt：指定导出的证书文件名为certificate.crt。

2.2.3 导入证书

$keytool -importcert -alias myalias -file certificate.crt -keystore keystore.jks
-importcert：导入证书的命令。
-alias myalias：指定要导入的证书的别名。
-file certificate.crt：指定要导入的证书文件名为certificate.crt。
-keystore keystore.jks：指定密钥库文件名为keystore.jks。

2.2.4 列出密钥库中的条目

$keytool -list -keystore keystore.jks
-list：列出密钥库中的条目的命令。
-keystore keystore.jks：指定要列出的密钥库文件名为keystore.jks。

2.2.5 查看证书详细信息

$keytool -printcert -file certificate.crt
-printcert：查看证书详细信息的命令。
-file certificate.crt：指定要查看的证书文件名为certificate.crt。

2.2.6 查看签名证书详细信息

使用工具keytool来查看apk签名，使用方法如下：

$keytool -printcert -jarfile XXX.apk

如果未签名或者keytool禁用的弱算法签名的，会显示：

$keytool -printcert -jarfile XXX.apk
不是已签名的 jar 文件

如果签名的话则会显示：

$keytool -printcert -jarfile XXX.apk
签名者 #1:

Certificate #1:
所有者: CN=XXX, OU=XXX, O=XXX, L=xxx, ST=xxx, C=XXX
发布者: CN=XXX, OU=XXX, O=XXX, L=xxx, ST=xxx, C=XXX
序列号: 706e325f
生效时间: Fri Jun 04 13:59:30 CST 2021, 失效时间: Sun May 11 13:59:30 CST 2121
证书指纹:
     SHA1: 67:DC:CE:BD:3E:BB:67:AD:A4:CC:D6:65:B3:1C:2A:33:4F:B0:74:89
     SHA256: 92:93:EE:B8:A3:4B:57:3D:32:0E:F7:D2:52:80:4A:74:E0:BB:16:00:11:7E:6E:B4:80:41:6B:FA:E4:6D:D5:EF
签名算法名称: SHA256withRSA
主体公共密钥算法: 2048 位 RSA 密钥
版本: 3

扩展:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 54 0C 4B 25 7D 3D E1 2D   1E 1C 9F 93 BE 1D 39 08  T.K%.=.-......9.
0010: 14 8E 32 00                                        ..2.
]
]

注意：这里如果使用高版本的keytool，有可能V1和V2的签名都会显示“不是已签名的 jar 文件”，但是V3会正常显示。

3 使用工具签名

3.1 apksigner简介

apksigner是Android SDK中提供的一个命令行工具，用于对Android应用程序（APK）进行数字签名。它是为了确保APK在发布和安装过程中的完整性和安全性而设计的。

apksigner的一些主要特点和功能如下：

• 数字签名：apksigner使用开发者的私钥对APK进行数字签名。数字签名是一种安全机制，用于验证APK的来源和完整性。签名后的APK可以防止未经授权的修改和篡改，并提供了一种信任机制，使用户能够验证APK的真实性。
• 支持多种签名方案：apksigner支持使用不同的签名方案对APK进行签名，包括旧版JAR签名（JAR Signature Scheme v1）和现代APK签名方案（APK Signature Scheme v2+）。后者是Android 7.0及更高版本的推荐签名方案，它提供更好的安全性和验证能力。
• 验证签名：apksigner可以验证已签名的APK的签名信息，包括签名方案、证书链、证书指纹等。这样可以确保APK在发布和传输过程中没有被篡改，并且可以验证APK的来源。
• 自动优化：apksigner能够自动优化APK，以减小APK的大小并提高运行性能。它可以删除未使用的资源、压缩文件和优化dex文件等，从而减少APK的体积。
• 兼容性：apksigner与Android系统兼容，并且与Google Play Store的要求一致。在将APK上传到Google Play Store进行发布时，apksigner是必需的，因为Google Play要求APK必须进行数字签名。
• 自动/手动构建：作为构建工具的一部分自动执行，也可以手动运行以对现有的APK进行签名和验证。

3.2 签名常用命令

使用apksigner工具进行V1 V2 V3 V4签名。apksigner.jar/apksigner工具是Android自带的工具中的命令，放在Sdk/build-tools/$版本号/目录下。

早期apksigner的版本是jar包，使用apksigner.jar文件和xxx.jks来给应用签名，具体操作如下：

$java -jar apksigner.jar sign --ks xxx.jks --ks-key-alias xxx1 --ks-pass pass:xxx2  --key-pass pass:xxx3 --out [签名后生成的文件/out输出参数] [需要签名的文件/in输入参数]

后来改为apksigner可执行文件，具体操作如下：

$apksigner sign --ks xxx.jks --ks-key-alias xxx1 --ks-pass pass:xxx2  --key-pass pass:xxx3 --out [签名后生成的文件/out输出参数] [需要签名的文件/in输入参数]

3.3 apksigner关键参数解读（sign和verify子命令）

3.3.1 sign参数的详细解读

如果需要重新签名/更换签名，直接更换jks文件即可。这里涉及的参数说明如下：

--ks xxx.jks 密钥库名
--ks-key-alias xxx1 密钥别名,若密钥库有一个密钥对,则可省略,反之必选
--ks-pass pass:xxx2 解锁密钥库文件的密码
--key-pass pass:xxx3 解锁私钥的密码

对于签名的 还可以设置签名版本解决方案，如下所示：

--v1-signing-enabled 是否开启V1签名,默认开启
--v2-signing-enabled 是否开启V2签名,默认开启
--v3-signing-enabled 是否开启V3签名,默认开启
--v4-signing-enabled 是否开启V4签名,默认开启

关于sign的其他命令，可以使用 apksigner sign --help来查看。

3.3.2 verify参数的详细解读

常用参数说明如下：

-v 输出签名的模式V1/V2/V3/V4的值未true/false
--print-certs 打印签名详细信息

具体使用如下：

#这里的输出表示V2签名
$apksigner verify -v xxx1.apk
Verifies
Verified using v1 scheme (JAR signing): false
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): false
Number of signers: 1

#这里输出的表示V1+V2+V3签名
$apksigner verify -v xxx1.apk
Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Number of signers: 3

#这里打印cert的详细信息
apksigner verify --print-certs xxx.apk
Signer #1 certificate DN: CN=xxx1, OU=xxx2, O=xxx3, L=xxx, ST=xxx, C=xxx
Signer #1 certificate SHA-256 digest: 6793eeb8a34b573d320ef7d25208a474e0bb1600117e6e4b80416bfae46dd5fe
Signer #1 certificate SHA-1 digest: 24dc9cbd3ebb67ada4bdd665b31c2a994fb07444
Signer #1 certificate MD5 digest: 1252800c8673bd059951fcaf66a5b91c

#同时使用参数-v和--print-certs，打印更全面的信息
$apksigner verify -v --print-certs xxx.apk
Verifies
Verified using v1 scheme (JAR signing): false
Verified using v2 scheme (APK Signature Scheme v2): false
Verified using v3 scheme (APK Signature Scheme v3): true
Number of signers: 1
Signer #1 certificate DN: CN=xxx1, OU=xxx2, O=xxx3, L=xxx4, ST=xxx5, C=xxx6
Signer #1 certificate SHA-256 digest: 6793eeb8a34b573d320ef7d25208a474e0bb1600117e6e4b80416bfae46dd5fe
Signer #1 certificate SHA-1 digest: 24dc9cbd3ebb67ada4bdd665b31c2a994fb07444
Signer #1 certificate MD5 digest: 1252800c8673bd059951fcaf66a5b91c
Signer #1 key algorithm: RSA
Signer #1 key size (bits): 2048
Signer #1 public key SHA-256 digest: 39e722630a16ebbc200a1cac68b2ac6689ae9f56bff911c229ef2a81f5c24b5c
Signer #1 public key SHA-1 digest: 5b9b6707d59e3aee0f844830cc3cc7074499fe2f
Signer #1 public key MD5 digest: 36cdbb8876ef2ffc59dcafeb59f26810

关于verify的其他命令，可以使用 apksigner verify --help来查看。