android APK签名汇总整理 (其实升级包update.zip也是这么签名的)

一、签名作用

1.发送者的身份认证：由于开发商可能通过使用相同的 Package Name 来混淆替换已经安装的程序，以此保证签名不同的包不被替换。
2.保证信息传输的完整性：签名对于包中的每个文件进行处理，以此确保包中内容不被替换。
3.防止交易中的抵赖发生， Market 对软件的要求。

原理：不同的程序公钥不同，实质是公钥不同即认为是不同的程序。

二、签名过程

参见《android APK签名过程之MANIFEST.MF分析》、《android APK签名过程之CERT.SF分析》、《android APK签名过程之CERT.RSA分析》、《手动给android APK签名》，另外CERT.SF文件的生成跟私钥没有半毛钱关系，整个签名过程也跟私钥没有关系，只有RSA用公钥加密并且含有证书信息。

三、签名验证过程

以程序升级为例，因为是相同的程序，那么公钥信息一定是相同的，则可以升级。

CERT.SF和MANIFEST.MF文件只是用来验证各个文件的完整性的，完全可以手动打造。

四、如何利用签名防破解

1.程序自校验，可以把原本的公钥信息（或者.RSA文件）存放到某一文件处，运行时计算当前的公钥信息（或者.RSA文件）与存放的信息是否一致。

2.联网校验，运行时的公钥信息和服务器端存储的公钥信息进行比对。

http://blog.163.com/lyzaily@126/blog/static/42438837201312685849478/

http://blog.163.com/lyzaily@126/blog/static/42438837201322295450362/