在Android的apk包中含有一个叫做META-INF的文件夹,这个里边存储的是关于签名的一些信息。
其中将apk包解压出来,进入META-INF目录,发现会有3个文件:CERT.RSA,CERT.SF,MANIFEST.MF。
用记事本打开MANIFEST.MF文件,这是个可读的文本文件,大约内容如下:
Manifest-Version: 1.0 Created-By: 1.0 (Android) Name: res/drawable-hdpi/shop_search_bg.png SHA1-Digest: OgQ5gmKTFoxuZWAaKBBJKl1Oy24= Name: res/drawable/merchant_btn_selector.xml SHA1-Digest: AkxLT25+wtnL6DCN10rcSTpz6kM=
然后是CERT.SF文件,用记事本打开,内容如下:
Signature-Version: 1.0 Created-By: 1.0 (Android) SHA1-Digest-Manifest: I2tqVFgbG+PZh6o8SWuDePSrTcQ= Name: res/drawable-hdpi/shop_search_bg.png SHA1-Digest: twMIUeZAdwmMBjIDlo/5EiSFWj0= Name: res/drawable/merchant_btn_selector.xml SHA1-Digest: GJqtJ+iUO4Xrjgzri8nzR+GDLVU=
这两个文件中的内容仅仅是个摘要,也就是仅仅对文件做个hash。
最后一个文件是CERT.RSA,这个文件中放的是apk包的签名,同时还有证书的公钥。
一般来说,证书的内容是:开发者信息+开发者公钥 +CA的签名( CA对前两部分做hash值然后私钥加密之后的密文)
验证过程是:用CA公钥对括号里的内容解密,然后对前两部分hash,跟CA的签名进行对比,看是否相同。
暂时不知道Android中既然已经有了对整个文件的摘要,为什么还要弄个前3行的摘要。
猜想:
cert.rsa这个文件中应该存放的是开发者信息+开发者公钥+开发者签名【自己就是CA】(对前两部分的hash用自己私钥做加密),
解密过程应该是:首先提取自己公钥,然后对自己加密的那部分解密,然后对前2部分做hash进行比对,模拟跟验证证书。然后再用公钥依次验证每一个文件的摘要看是否正确。