Android程序打包及签名

一. APK文件
APK后缀文件是Android应用程序的标准格式,是zip压缩包,包含文件如下:

AndroidManifest
记载了应用程序的名称,权限声明,所包含的组件等一些列信息.已做加密保护处理.
classes.dex
应用程序的核心.将项目源码生成.class文件,并经过dx工具生成虚拟机字节码.如果引入了jar包也会被包含在classes.dex中.
resources.arsc
编译过后的资源文件
res
未编译的资源文件
META-INF目录
保存应用程序的签名和校验信息,以保证资源的完整性,避免程序包被恶意篡改.

APK编译全过程

其中,zipalign的优化目的是提高程序的加载和运行速度,原理是对APK包中的数据进行边界对齐,保证所有数据能按照特定标准来相对文件开头进行字节对齐.

二. 信息安全基础

加密/解秘
信息安全学的基础是数学,关键点有三个
1)Encryption 加密
2)Decryption 解秘 (大致可分为对称和非对称两种)
3)Hash 哈希散列 (将不定长度的输入变成定长输出的过程)

对称算法(Symmetric Algorithm)
如果加密和解密过程所用的密钥完全一样(单钥密码体系),就是对称算法.比如家庭门锁就是单钥系统.通常速度很快,可应用于大数据量加密的场合.常用算法包括DES和AES算法.
参考DH(Diffie-Hellman)算法实现密钥的传输.
不对称算法/公钥算法(Public-key Algorithm)
核心是加密和解密所用的密钥不是同一个.数据用私钥/公钥进行加密,然后通过匹配的公钥/私玥解密.公钥用于向外发布，是所有人可获知的；私玥是由个人保存的，切勿给别人。常见算法包括RSA和DSA.
为保证Non-repudiation（不可否认性），在认证过程中，采用的原理是“只有拥有私钥的人才能解密用公钥加密过的数据”。与此类似，数字签名的理论基础是“只有用私钥加密的数据才能用公钥解开”。
哈希算法
Hash的作用就是将任意长度的二进制值映射为固定长度的最终值.Hash算法可用于查找,消息摘要,数字签名等.常见算法由MD5,SHA,SHA-1,SHA-256,SHA384,SHA-512等.

三、应用程序签名

校验
Android签名机制目的是确保应用程序在安装前没有被恶意篡改。
签名后比签名前的APK多出META-INF文件夹，通常情况包括MANIFEST.MF,CERT.SF,CERT.SRA 3个文件。

Android只对整个MANIFEST.MF进行了加密，因为它包含了应用包中所有文件的Hash值，这样既可以检查此文件是否完整可靠，也可以验证程序提供的私钥和公钥是否匹配。
只要确认了MANIFEST.SF文件的可靠性，就可以通过读取其中的信息来为APK包中的所有文件做一一校验。

注：主要内容摘录自书籍 深入理解Android内核设计思想，林学森著