Android 签名（META-INF）

在Android的apk包中含有一个叫做META-INF的文件夹，这个里边存储的是关于签名的一些信息。

其中将apk包解压出来，进入META-INF目录，发现会有3个文件：CERT.RSA，CERT.SF，MANIFEST.MF。

用记事本打开MANIFEST.MF文件，这是个可读的文本文件，大约内容如下：

Manifest-Version: 1.0Created-By: 1.0 (Android)Name: res/drawable-hdpi/shop_search_bg.pngSHA1-Digest: OgQ5gmKTFoxuZWAaKBBJKl1Oy24=Name: res/drawable/merchant_btn_selector.xmlSHA1-Digest: AkxLT25+wtnL6DCN10rcSTpz6kM=

版本号以及对每一个文件的哈希值（BASE64）。包括资源文件。这个是对每个文件的整体进行SHA1 hash

然后是CERT.SF文件，用记事本打开，内容如下：

Signature-Version: 1.0Created-By: 1.0 (Android)SHA1-Digest-Manifest: I2tqVFgbG+PZh6o8SWuDePSrTcQ=Name: res/drawable-hdpi/shop_search_bg.pngSHA1-Digest: twMIUeZAdwmMBjIDlo/5EiSFWj0=Name: res/drawable/merchant_btn_selector.xmlSHA1-Digest: GJqtJ+iUO4Xrjgzri8nzR+GDLVU=

看到跟manifest.mf中的很类似，也是BASE64编码的哈希值，这个是对每个文件的头3行进行SHA1 hash。

这两个文件中的内容仅仅是个摘要，也就是仅仅对文件做个hash。

最后一个文件是CERT.RSA，这个文件中放的是apk包的签名，同时还有证书的公钥。

一般来说，证书的内容是：开发者信息+开发者公钥 +CA的签名（ CA对前两部分做hash值然后私钥加密之后的密文）

验证过程是：用CA公钥对括号里的内容解密，然后对前两部分hash，跟CA的签名进行对比，看是否相同。

暂时不知道Android中既然已经有了对整个文件的摘要，为什么还要弄个前3行的摘要。 

猜想：

 cert.rsa这个文件中应该存放的是开发者信息+开发者公钥+开发者签名【自己就是CA】（对前两部分的hash用自己私钥做加密），

解密过程应该是：首先提取自己公钥，然后对自己加密的那部分解密，然后对前2部分做hash进行比对，模拟跟验证证书。然后再用公钥依次验证每一个文件的摘要看是否正确。