因为近期刚针对各应用平台对APP备案时间节点要求进行了统一整理,然后隔天就被要求提供一下app相关的的公钥和MD5,虽然很快就解决了这个事情,但忍不住又稍微衍生了一下,但行小步,莫问远方吧
关联Blog
Tip:如果着急获取公钥和MD5
可以直接用便捷工具,反之有兴趣的话可以看看其他获取公钥和MD5
的方式
-
- 基础认知
-
- [证书公钥(Public Key)](#证书公钥(Public Key))
- [MD5(Message Digest Algorithm 5)](#MD5(Message Digest Algorithm 5))
- 便捷工具
- 核心方式
- [核心方式 - MD5异常场景处理方式](#核心方式 - MD5异常场景处理方式)
-
- 环境介绍
- signingReport(可用)
- [jadx 验证(未亲测,应可用)](#jadx 验证(未亲测,应可用))
- RSA文件(亲测,未必全有效)
基础认知
证书公钥(Public Key)
- 加密通信: 在公钥加密系统中,公钥用于加密数据,而私钥用于解密。在安全通信中,通信双方可以交换公钥,并使用对方的公钥加密数据,保证了数据的机密性。
- 数字签名验证: 证书公钥也用于验证数字签名。数字签名是对数据的摘要,通过使用私钥对摘要进行签名,然后使用公钥来验证签名的有效性。这确保了数据的完整性和真实性。
MD5(Message Digest Algorithm 5)
需要注意的是,MD5 目前不再被认为是安全的加密算法,因为它容易受到碰撞攻击(多个不同的输入产生相同的摘要)。在安全性要求较高的情况下,应考虑使用更强大的哈希算法,例如 SHA-256 或 SHA-3。
- 数据完整性: MD5 是一种哈希函数,用于生成数据的唯一固定长度的摘要。这个摘要通常用于验证数据的完整性。如果原始数据发生变化,其 MD5 摘要也会发生变化,因此接收方可以比较原始数据的 MD5 摘要以
检测是否存在任何篡改
。 - 文件校验: MD5 常用于校验文件完整性。在下载文件后,可以计算文件的 MD5 值并与提供的 MD5 值进行比较,以
确保文件未被损坏或篡改
。 - 密码存储: 尽管 MD5 不再被推荐用于密码存储,但在过去的一些应用中,它被用于生成密码的散列值。现代应用通常使用更安全的哈希算法,如 SHA-256。
便捷工具
近期基本所有国内Android应用平台因为工信部的要求都需要进行APP备案
,在APP备案中需要提供公钥、MD5
,所以很多工具app应运而生,这种工具我并不确定是否以后还一直可以使用,故除此之外我还提供了另一种核心方式,万变不离其中~
APP备案助手
公钥、MD5
核心方式
准备工作
因为我是使用Demo做演练,所以我需要先 生成 keystore、jks 签名证书,然后在 反编译keystore、jks签名证书 获取部分信息
shell
#生成jsk格式的签名证书
keytool -genkeypair -v -keystore testkeyly.jks -keyalg RSA -keysize 2048 -validity 10000 -alias testkeyly -storetype JKS
公钥
通过 keytool
工具获取签名证书
shell
#示例 your_alias、your_keystore 分别输入自己的签名信息 & certificate 证书名称(可自行更改)
keytool -export -alias your_alias -file certificate.cer -keystore your_keystore.keystore
# demo 示例
keytool -export -alias tmpkey -file certificate.cer -keystore tmpkey.jks
cmd操作结果
生成cer格式文件
直接在详细信息获取公钥即可
MD5
如果当前本地JDK环境用的1.8的话,可以直接采用如下方式,逆向获取证书信息节课,如没有MD5则查看后续的异常处理方式
shell
# 示例 xxx 输入自己的签名文件名即可
keytool.exe -list -v -keystore xxx.keystore或xxx.jks
#demo 示例
keytool -list -v -keystore tmpkey.jks
正常的话签名信息中可以看到MD5,如下
看到这里可能你也遇到不正常的场景了...
例如签名信息中根本不包含MD5信息... 而且密钥库类型也不同...
核心方式 - MD5异常场景处理方式
查了一下资料,发现可能高于JDK1.8的环境 移除了 这些
Disable MD5 or MD2 signed jars
,导致均无法通过keyTool
获取到MD5
信息
环境介绍
当前环境
- 本地环境:验证了一下我本地JDK版本已经到了
11.0.18
了
- 项目环境:JDK
1.8
- Tip :其实下面的方式都是曲线操作,有兴趣的可以去看一下采用 openssl 获取MD5的方式,因最近减法还没做完,我就先不去深挖了,有机会我再去浅学一下...
signingReport(可用)
执行方式 + 默认配置 (并未设置签名信息,故该处标红区域的MD5值不对
)
效果如图
在build.gradle
中声明对应的签名信息,然后重新执行该操作(可参考:debug模式下打出release签名包)
jadx 验证(未亲测,应可用)
早以前我就记录过 Jadx快速实现Apk反编译 ,这里就不再赘述了,图就直接套了...
APK signature
- Modulus/模数 为公钥,十进制显示的
- MD5 Fingerprint/MD5签名,APP备案填写时需要去掉空格,填写32位长度的十六进制数据
RSA文件(亲测,未必全有效)
RAS本身是一种加密方式,这里的RSA文件就是加密文件
-
将
apk
后缀改为zip
,变为可压缩包
-
解压后进入
META-INF
- 找一个
.RSA后缀文件
(如果没有该文件,那么这个apk签名可能存在问题)
4.使用 keytool
命令获取MD5签名(有的可能获取不到,例如金融型app会进行特殊的二次加密)
shell
#xxx 替换成对应的rsa文件名即可
keytool -printcert -file xxx.RSA