Android从哪里获得验证APK签名的公钥?
Android从APK文件的META-INF目录中的CERT.RSA文件中获取验证APK签名的公钥。在APK签名过程中,开发者使用私钥对APK进行签名,生成CERT.RSA文件。验证APK签名时,Android系统会提取CERT.RSA文件中的公钥,并与APK中的签名进行比对,以确保APK的完整性和真实性。
APK签名的公钥获取方式如下:
- 使用Java的KeyStore工具,通过以下命令提取公钥: keytool -printcert -file CERT.RSA
- 使用Android Studio进行验证:
- 打开APK文件,将其重命名为.zip格式,解压缩。
- 在解压缩后的文件夹中,进入META-INF目录,找到CERT.RSA文件。
- 在终端或命令提示符中,使用以下命令提取公钥: keytool -printcert -file CERT.RSA
验证APK签名的公钥对于确保APK的安全性和防止篡改非常重要。开发者可以使用公钥验证库来验证APK签名,以确保APK来自可信的源,并且没有被篡改。
相关·内容
我在互联网上看到APK包含签名,但我没有看到验证签名所需的公钥。Play Store是否随APK一起下载公钥(或证书)?Android是否需要在需要时向Play Store索要公钥?我是否遗漏了什么,APK本身同时包含签名和公钥(这似乎是一个安全问题)? 我意识到Play Store将拥有公<
浏览 54提问于2021-10-29得票数 0
2回答
我正在编写一个Android应用程序,它需要验证请求是否来自可信方(我)。储存钥匙:将私钥存储在服务器中。请求从服务器到Android应用程序的一些操作:Android应用程序创建一个随机字符串并将其发送到服务器。服务器用私钥签名随机字符串,并将其发送到<e
浏览 0提问于2020-03-19得票数 1
回答已采纳
1回答
使用特定构建的平台密钥签名的Android应用程序可以获得系统特权,我想知道这些apks是如何和在哪里被验证的。必须有某种引用,要么是另一个平台签名的apk,要么是公钥的副本。我有两个假设:
存储在/sys
浏览 1提问于2018-04-11得票数 0
2回答
我用我的Keystore通过Eclipse对android应用程序进行了签名。我需要拥有与私钥对应的公钥使用公钥来验证应用程序是否由我签名我的想法正确
浏览 0提问于2013-07-21得票数 2
回答已采纳
2回答
根据我的理解,android签名步骤是确保用户要安装的apk是不修改的。apk是由一个私钥签名的,但是根据我的理解,公钥就写在同一个apk文件中。我想知道用户如何信任公钥并使用它解密和验证apk?因为我是一个黑客,我可以简单地获取原始的apk,修改它
浏览 23提问于2022-10-11得票数 0
回答已采纳
1回答
GPG如何签署和验证?
、、、、
我增加了公钥和私钥,用于在Bintray中进行GPG签名。根据文档,上传的内容将自动使用私钥签名。
GPG签名是by的一个可选特性,允许上传材料的发行者对其进行签名,这样用户就可以验证它是真实的</
浏览 1提问于2017-09-18得票数 2
回答已采纳
1回答
我在研究Hyperledger织物的结构。我很好奇,如何通过代理来验证本地事务的起源。所以,我的问题是,代言者从哪里</
浏览 3提问于2017-11-10得票数 1
回答已采纳
web上有许多页面可以说明如何为apk文件签名Android。但我发现没人能告诉我它是怎么工作的。(例如,这里的https://github.com/appium/sign)命令是java -jar SignApk.jar testkey.x509.pem testkey.pk8 my.apk my.s.apk,它有两个带有密钥的文件-- .pem (证书)和.pk8 (据我了解,它包含私钥)。官方的</
浏览 0提问于2019-09-12得票数 2
回答已采纳
1回答
我想上传到Playstore,我的应用程序,将取代一个旧的版本,我没有加载我在过去。当我试图上传我的应用程序时,我有以下错误:of your previousAPK.The APK existing certificates are signed by these fingerprint:
The certificat
浏览 1提问于2015-05-11得票数 2
回答已采纳
4回答
我无法理解数字签名是如何被验证的。我知道数字签名将被附加到消息上,并由发送者发送给接收者。然后,接收方使用公钥进行验证。以下是我的问题:以及它是如何分配给接收者的?如何识别特定数字签名的公钥?
验证局在这一过程中的
浏览 0提问于2011-10-11得票数 69
我正在使用为我的游戏实现应用程序内的购买。我做了以下工作:
在我的配置文件中添加了一个测试用户帐户我得到了市场屏幕,我可以看到商品的详细信息(因此市场确实识别项目id,因为这些细节只在市场上,而不是在我<e
浏览 2提问于2012-02-20得票数 9
回答已采纳
1回答
它有一个函数来检查两个未知的.apk文件(对于ex app1.apk和app2.apk)是否是相同的应用程序。我的想法是比较指纹(在文件META/CERT.RSA)和两个应用的名称。.\ meta \ CERT.RSA ),我可以在CERT.RSA文件中获得有关签名的元信息。但是,我无法通过使用java源代码获取这些信息。此外,我还想获得在文件strings.xml中定义的</em
浏览 11提问于2015-08-16得票数 1
回答已采纳
4回答
Android系统要求所有安装的应用程序都使用一个证书进行数字签名,该证书的私钥由应用程序的开发人员持有。如何具体地将公钥分发给客户端Android设备?当开发人员发布应用程序时,公钥是否包含在apk中?如果是,密钥存储在哪里?或者Android市场,例如Google播放,是否持有一个开发人员id列表以及相应的公钥</e
浏览 3提问于2014-02-28得票数 8
回答已采纳
1回答
有人能给我解释一下在SAML2.0中传递公钥和签名的意义吗?因为我知道需要签名来确保消息不会被人截获,所以我需要确保我用来验证签名的公钥与发送者有关,在SAML2.0中,我可以预先使用元数据获得公钥。但是,如果我在运行时从消息中获取一个公钥,我怎么知道它没有被拦截,并且包含了其他拦截器的<em
浏览 0提问于2013-06-11得票数 0
我正在尝试编写一段代码来获取Android开发人员身份信息(例如,开发人员id、公钥等)。
有人知道我该怎么做吗?大概,所有应用程序的包信息都保存在包管理器中。要了解更多Android签名流程,Android系统如何/何时通过验证开发者签名的证书来验证应用开发者的身份?Android框架上保存的证书的公</em
浏览 8提问于2014-02-28得票数 0
1回答
如果我错了,请纠正我,但是如果应用程序的字节被更改,那么应用程序的签名也会发生变化。但是在这个库中,在“验证签名”部分中写到,我们应该将签名保存在一个变量中,并检查它是否正确。我试过了而且成功了。但是,如果我们将签名保存在变量中,这意味着应用程序被更改了,这意味着签名也被更改了,那么它就不能通过check吗?那怎么可能呢?
签名检查是如何工作的?
浏览 6提问于2022-10-29得票数 -2
回答已采纳
1回答
我正在通过PKI开发身份验证。我是新手,通过PKI认证用户,所以在网上阅读后,我想出了这个解决方案。用户将创建一个公钥和私钥。要验证公钥,用户将申请数字证书。数字证书将具有公钥、用户的元数据和证书颁发机构的数字签名。为了证明没有数据篡改,用户将使用数字签名,这将是证书的哈希与用户的私钥。用户将向服务器发送数字证书、数字签名和数据
浏览 1提问于2019-05-14得票数 0
回答已采纳
考虑到我们有一个APK文件,可以在文件系统上的Android设备上访问,那么我们如何才能从另一个Android应用程序:
确认APK文件没有被篡改(其数字签名是否与其内容匹配)?获取公钥信息(特别是,与keytool -list -printcert -jarfile test.apk在开发机器上发出的相同类型的keytool -list -printcert -jarfiletest.
浏览 2提问于2016-10-17得票数 2
回答已采纳
1回答
我在android密钥商店创建了一个密钥对。现在我有了公钥( DER格式)并生成了签名( DER格式)。现在我试着在以太验证同样的情况。我试过像这样从Der签名中得到r,s。DER Sign (0x30 size 20/21 r size 20/21 v) // strip zer
浏览 10提问于2022-11-30得票数 0
回答已采纳
2回答
即使Alice和Bob签署了他们的消息(通过用私钥加密哈希),Eve也可以用自己的签名代替签名,因为Alice和Bob只有伪造公钥来验证签名。即使爱丽丝和鲍勃的公钥是由其他用户签名的,伊芙也可以与许多其他假用户签署她的假密钥。要验证密钥签名,Alice和Bob必须再次依赖密钥服务器提供公<em
浏览 0提问于2013-08-21得票数 14
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
