APP备案(Android) - 获取签名证书公钥、MD5

因为近期刚针对各应用平台对APP备案时间节点要求进行了统一整理,然后隔天就被要求提供一下app相关的的公钥和MD5,虽然很快就解决了这个事情,但忍不住又稍微衍生了一下,但行小步,莫问远方吧

关联Blog

Tip:如果着急获取公钥和MD5可以直接用便捷工具,反之有兴趣的话可以看看其他获取公钥和MD5的方式

基础认知

证书公钥(Public Key)

  • 加密通信: 在公钥加密系统中,公钥用于加密数据,而私钥用于解密。在安全通信中,通信双方可以交换公钥,并使用对方的公钥加密数据,保证了数据的机密性。
  • 数字签名验证: 证书公钥也用于验证数字签名。数字签名是对数据的摘要,通过使用私钥对摘要进行签名,然后使用公钥来验证签名的有效性。这确保了数据的完整性和真实性。

MD5(Message Digest Algorithm 5)

需要注意的是,MD5 目前不再被认为是安全的加密算法,因为它容易受到碰撞攻击(多个不同的输入产生相同的摘要)。在安全性要求较高的情况下,应考虑使用更强大的哈希算法,例如 SHA-256 或 SHA-3。

  • 数据完整性: MD5 是一种哈希函数,用于生成数据的唯一固定长度的摘要。这个摘要通常用于验证数据的完整性。如果原始数据发生变化,其 MD5 摘要也会发生变化,因此接收方可以比较原始数据的 MD5 摘要以检测是否存在任何篡改
  • 文件校验: MD5 常用于校验文件完整性。在下载文件后,可以计算文件的 MD5 值并与提供的 MD5 值进行比较,以确保文件未被损坏或篡改
  • 密码存储: 尽管 MD5 不再被推荐用于密码存储,但在过去的一些应用中,它被用于生成密码的散列值。现代应用通常使用更安全的哈希算法,如 SHA-256。

便捷工具

近期基本所有国内Android应用平台因为工信部的要求都需要进行APP备案,在APP备案中需要提供公钥、MD5,所以很多工具app应运而生,这种工具我并不确定是否以后还一直可以使用,故除此之外我还提供了另一种核心方式,万变不离其中~

APP备案助手

公钥、MD5


核心方式

准备工作

因为我是使用Demo做演练,所以我需要先 生成 keystore、jks 签名证书,然后在 反编译keystore、jks签名证书 获取部分信息

shell 复制代码
#生成jsk格式的签名证书
keytool -genkeypair -v -keystore testkeyly.jks -keyalg RSA -keysize 2048 -validity 10000 -alias testkeyly -storetype JKS

公钥

通过 keytool 工具获取签名证书

shell 复制代码
#示例 your_alias、your_keystore 分别输入自己的签名信息 & certificate 证书名称(可自行更改)
keytool -export -alias your_alias -file certificate.cer -keystore your_keystore.keystore

# demo 示例
keytool -export -alias tmpkey -file certificate.cer -keystore tmpkey.jks 

cmd操作结果

生成cer格式文件

直接在详细信息获取公钥即可

MD5

如果当前本地JDK环境用的1.8的话,可以直接采用如下方式,逆向获取证书信息节课,如没有MD5则查看后续的异常处理方式

逆向签名 - keystore、jks签名文件

shell 复制代码
# 示例 xxx 输入自己的签名文件名即可
keytool.exe -list -v -keystore xxx.keystore或xxx.jks

#demo 示例
keytool -list -v -keystore tmpkey.jks

正常的话签名信息中可以看到MD5,如下

看到这里可能你也遇到不正常的场景了...

例如签名信息中根本不包含MD5信息... 而且密钥库类型也不同...


核心方式 - MD5异常场景处理方式

查了一下资料,发现可能高于JDK1.8的环境 移除了 这些 Disable MD5 or MD2 signed jars,导致均无法通过 keyTool获取到 MD5 信息

环境介绍

当前环境

  • 本地环境:验证了一下我本地JDK版本已经到了11.0.18
  • 项目环境:JDK1.8
  • Tip :其实下面的方式都是曲线操作,有兴趣的可以去看一下采用 openssl 获取MD5的方式,因最近减法还没做完,我就先不去深挖了,有机会我再去浅学一下...

signingReport(可用)

执行方式 + 默认配置并未设置签名信息,故该处标红区域的MD5值不对

效果如图

build.gradle中声明对应的签名信息,然后重新执行该操作(可参考:debug模式下打出release签名包


jadx 验证(未亲测,应可用)

早以前我就记录过 Jadx快速实现Apk反编译 ,这里就不再赘述了,图就直接套了...

APK signature

  • Modulus/模数 为公钥,十进制显示的
  • MD5 Fingerprint/MD5签名,APP备案填写时需要去掉空格,填写32位长度的十六进制数据

RSA文件(亲测,未必全有效)

RAS本身是一种加密方式,这里的RSA文件就是加密文件

  1. apk 后缀改为 zip,变为可压缩包

  2. 解压后进入 META-INF

  1. 找一个.RSA后缀文件(如果没有该文件,那么这个apk签名可能存在问题)

4.使用 keytool命令获取MD5签名(有的可能获取不到,例如金融型app会进行特殊的二次加密)

shell 复制代码
#xxx 替换成对应的rsa文件名即可
keytool -printcert -file xxx.RSA 
相关推荐
Digitally几秒前
如何将文件从 iPhone 传输到 Android(新指南)
android·ios·iphone
whysqwhw1 小时前
OkHttp深度架构缺陷分析与演进规划
android
用户7093722538511 小时前
Android14 SystemUI NotificationShadeWindowView 加载显示过程
android
木叶丸2 小时前
跨平台方案该如何选择?
android·前端·ios
顾林海2 小时前
Android ClassLoader加载机制详解
android·面试·源码
用户2018792831672 小时前
🎨 童话:Android画布王国的奇妙冒险
android
whysqwhw3 小时前
OkHttp框架的全面深入架构分析
android
你过来啊你3 小时前
Android App冷启动流程详解
android
泓博4 小时前
KMP(Kotlin Multiplatform)改造(Android/iOS)老项目
android·ios·kotlin
移动开发者1号4 小时前
使用Baseline Profile提升Android应用启动速度的终极指南
android·kotlin