iOS应用签名(上)
关于iOS应用签名我想一块儿探讨一下它的原理.首先咱们须要了解一个东西,叫作数字签名git
数字签名(digitally signed)
名词解释:为何用签名这个词.由于老外喜欢用支票,支票上面的签名可以证实这玩意是你的.那么数字签名顾名思义,就是用于鉴别数字信息的方法.算法
接下来咱们思考一下.想要证实数字信息(也就是二进制数据,计算机里面的任意数据)的有效性,那么使用什么方式最合适呢?
咱们能够想到有"信息指纹"之称的HASH算法,在以前的文章中有讲到HASH算法专门用来作文件数据的识别.那么在网络数据传递的过程当中,咱们能够将明文数据,和数据的HASH值一块儿传递给对方.对方能够拿出HASH值来进行验证.
可是在这个过程当中,如何作到数据的保护呢?明文数据和HASH值若是直接传递就有都被篡改的风险.因此这里咱们要对数据进行加密.明文数据有时会比较大,不适合使用RSA非对称加密算法,那么数据的HASH值是比较小的.这个数据是用于校验的,它彻底可使用RSA来加密.因此在数据传递的时候,咱们将明文数据加上经过RSA加密的校验数据一并传递给对方.那么这个经过RSA加密的校验数据,咱们称之为签名.安全
数字签名的验证过程
当对方拿到数据以后,如何进行验证呢?网络
- 首先传递数据时会将原始的数据和数字签名一块儿发送
- 对方拿到数据后,先进行校验.拿到原始数据,经过一样的HASH算法获得数据的HASH值.
- 而后经过非对称加密,将数字签名中的校验HASH值解密出来.
- 最后对比两个HASH值是否一致.这样能够很好的判断数据是否被篡改!
代码签名(Code signing)加密
名称解释:代码签名是对可执行文件或脚本进行数字签名.用来确认软件在签名后未被修改或损坏的措施。和数字签名原理同样,只不过签名的数据是代码而已.spa
简单的代码签名操作系统
在iOS出来以前,之前的主流操做系统(Mac/Windows)软件随便从哪里下载都能运行,系统安全存在隐患,盗版软件,病毒入侵,静默安装等等.那么苹果但愿解决这样的问题,要保证每个安装到 iOS 上的 APP 都是通过苹果官方容许的,怎样保证呢?就是经过代码签名调试
若是要实现验证.其实最简单的方式就是经过苹果官方生成非对称加密的一对公私钥.在iOS的系统中内置一个公钥,私钥由苹果后台保存,咱们传APP到AppStore时,苹果后台用私钥对APP数据进行签名,iOS系统下载这个APP后,用公钥验证这个签名,若签名正确,这个APP确定是由苹果后台认证的,而且没有被修改过,也就达到了苹果的需求:保证安装的每个APP都是通过苹果官方容许的.code
若是咱们iOS设备安装APP只从App Store这一个入口这件事就简单解决了,没有任何复杂的东西,一个数字签名搞定.可是实际上iOS安装APP还有其余渠道.好比对于咱们开发者iOSER而言,咱们是须要在开发APP时直接真机调试的.并且苹果还开放了企业内部分发的渠道,企业证书签名的APP也是须要顺利安装的.开发
苹果须要开放这些方式安装APP,这些需求就没法经过简单的代码签名来办到了.那么咱们来分析一下,它有些什么需求.
- 安装包不须要上传到App Store,能够直接安装到手机上.
- 苹果为了保证系统的安全性,又必须对安装的APP有绝对的控制权
- 通过苹果容许才能够安装
- 不能被滥用致使非开发APP也能被安装
为了实现这些需求,iOS签名的复杂度也就开始增长了,苹果这里给出的方案是双层签名.
iOS的双层代码签名
iOS的双层代码签名流程这里简单梳理一下,这也不是最终的iOS签名原理.iOS的最终签名在这个基础上还要稍微加点东西,文末会讲.
首先这里有两个角色.一个是iOS系统 还有一个就是咱们的Mac系统.由于iOS的APP开发环境在Mac系统下.因此这个依赖关系成为了苹果双层签名的基础.
- 在Mac系统中生成非对称加密算法的一对公钥私钥(你的Xcode帮你代办了).这里称为公钥M 私钥M . M = Mac
- 苹果本身有固定的一对公私钥,跟以前App Store原理同样,私钥在苹果后台,公钥在每一个iOS系统中.这里称为公钥A , 私钥A. A=Apple
- 把公钥M 以及一些你开发者的信息,传到苹果后台(这个就是CSR文件),用苹果后台里的私钥 A 去签名公钥M。获得一份数据包含了公钥M 以及其签名,把这份数据称为证书。
- 在开发时,编译完一个 APP 后,用本地的私钥 M(从此你导出的P12) 对这个 APP 进行签名,同时把第三步获得的证书一块儿打包进 APP 里,安装到手机上。
- 在安装时,iOS 系统取得证书,经过系统内置的公钥 A,去验证证书的数字签名是否正确。
- 验证证书后确保了公钥 M 是苹果认证过的,再用公钥 M 去验证 APP 的签名,这里就间接验证了这个 APP 安装行为是否通过苹果官方容许。(这里只验证安装行为,不验证APP 是否被改动,由于开发阶段 APP 内容老是不断变化的,苹果不须要管。)
有了上面的过程,已经能够保证开发者的认证,和程序的安全性了。 可是,你要知道iOS的程序,主要渠道是要经过APP Store才能分发到用户设备的,若是只有上述的过程,那岂不是只要申请了一个证书,就能够安装到全部iOS设备了?那么为了防止滥用,苹果再加了几个限制.咱们下篇文章再详细阐述.
- 1. iOS应用签名(上)
- 2. ios应用签名
- 3. iOS 应用签名原理&重签名
- 4. iOS应用签名(下)
- 5. iOS 应用签名原理
- 6. iOS应用签名原理
- 7. iOS逆向——应用签名及重签名原理
- 8. iOS中的App安全-应用签名和重签名
- 9. iOS逆向 应用重签名+微信重签名实战
- 10. iOS应用签名原理&应用重签名并附加调试
- 更多相关文章...
- • Maven Web 应用 - Maven教程
- • XML 应用程序 - XML 教程
- • TiDB 在摩拜单车在线数据业务的应用和实践
- • Tomcat学习笔记(史上最全tomcat学习笔记)
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. iOS应用签名(上)
- 2. ios应用签名
- 3. iOS 应用签名原理&重签名
- 4. iOS应用签名(下)
- 5. iOS 应用签名原理
- 6. iOS应用签名原理
- 7. iOS逆向——应用签名及重签名原理
- 8. iOS中的App安全-应用签名和重签名
- 9. iOS逆向 应用重签名+微信重签名实战
- 10. iOS应用签名原理&应用重签名并附加调试