【发布时间】:2015-05-06 16:34:00
【问题描述】:
鉴于我想支持所有 android 设备,例如 Froyo 或更高版本,我可以使用的最安全的签名算法是什么?我不需要将我的 APK 放入 Android Market。
例如,我知道有些手机支持sha1withrsa,但不支持sha256withrsa (Link)。
【问题讨论】:
【发布时间】:2015-05-06 16:34:00
【问题描述】:
请参考android dev guide on signing。
当前默认方法是SHA1withRSA:
$ jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-release-key.keystore my_application.apk alias_name
而几年前推荐的签名方法是MD5withRSA。
[...] 我可以使用的最安全的签名算法是什么?
您是否担心某些特定的攻击使您认为SHA1withRSA 或SHA256withRSA 会更安全?我无法预见任何情况。
【讨论】:
-
这似乎不是developer.android.com/tools/publishing/app-signing.html 文档中当前(2014 年 1 月)的建议。但我可以证明,我面前的索尼 Xperia E 手机(Android 4.1)似乎只有 MD5withRSA 可以工作。
-
自 2015 年 5 月起,他们使用
SHA1withRSA作为默认/推荐方法。