【发布时间】:2017-02-23 05:05:22
【问题描述】:
我总是想知道由于在 Android Studio 中创建密钥对而生成的公钥是否得到了证书颁发机构提供商的签名或认证。它要求您提供几乎与创建 CSR 所需的数据相同的数据,但它并没有告诉您哪个机构落后,我假设是 google。
【问题讨论】:
标签: android security android-studio
【发布时间】:2017-02-23 05:05:22
【问题描述】:
您从 Android Studio 获得的证书未由任何 CA 签名。它是自签名的,这意味着它上面的唯一签名来自它自己的公钥。
【讨论】:
-
我知道构建工具会为每个资源创建一个哈希,使用私钥对其进行签名并将其放入 Android apk 包中的文件中。然后,在安装 apk 时,安装程序应用程序会检查使用相同私钥签名的所有资源。它是应用程序签名存在的唯一目的吗?我认为它也将证书用于其他东西,但我对此表示怀疑,因为拥有未经批准的证书在许多安全方面是无用的。
-
应用签名密钥用于验证升级并允许应用共享 UID。在这两种情况下,它只用于验证两个 apk 是否来自同一个开发者,所以它不是自签名的问题。