Android APK签名与重签名教程

"这篇资源详细阐述了如何对Android的APK程序进行签名和重新签名的步骤，这个过程同样适用于自制的系统ROM。" 在Android平台上，APK程序的签名是发布应用所必需的步骤，因为它确保了应用的完整性和来源的可验证性。签名过程涉及使用一对密钥——公钥和私钥，来对APK的元数据进行加密。下面我们将深入探讨这个过程。 签名工具：signapk.jar `signapk.jar` 是一个由Android源码编译出的工具，用于给APK或ROM签名。使用该工具时，需要指定以下参数： 1. `-w`: 当对ROM进行签名时，需要添加此参数。 2. `publickey.x509[.pem]`: 这是公钥文件，通常是以X.509证书格式存储的公钥。 3. `privatekey.pk8`: 私钥文件，是包含私钥的数据文件。 4. `input.jar`: 要签名的原始APK或ROM文件。 5. `output.jar`: 签名后生成的新APK或ROM文件。 签名流程： 1. `main` 函数：这是`signapk.jar`的主要入口点。根据提供的参数，它创建公钥和私钥对象，然后调用`addDigestsToManifest`函数处理清单文件（Manifest）以添加数字摘要信息。 2. `addDigestsToManifest`：该函数计算APK中每个文件的哈希值，并将这些哈希值写入清单文件，以便验证文件未被篡改。 3. `signFile`：最后，调用`signFile`函数，使用公钥和私钥对APK进行签名。签名过程包括对APK的每个部分进行加密，创建一个数字签名，然后将其添加到APK的`.RSA`文件中。 对于自制系统ROM的签名，过程与APK签名类似，但可能涉及额外的步骤，例如添加`otacert`文件，以确保ROM更新的安全性。`SignApk.signWholeFile`函数似乎就是执行这一操作的，但具体细节需要进一步研究源代码才能完全理解。 签名的重要性： - **安全**：签名确保APK来自可信源，防止恶意篡改。 - **权限验证**：只有签名匹配的应用才能进行更新，防止未经授权的版本替换已安装的应用。 - **身份识别**：签名可以识别开发者的身份，有助于用户识别并信任应用。 总结，给Android APK程序签名和重新签名是保证应用安全、验证其完整性和来源的关键步骤。开发者和 ROM 制作者都应熟悉这个过程，以确保他们的软件能够顺利地在用户的设备上运行。