数字证书和数字签名

数字签名

Http请求为例, 发送报文时,发送方用一个Hash函数从报文中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将要作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的Hash函数从接收到的原始报文中计算出报文的摘要,接着再用发送发送方的公用密钥对报文附加的数字签名进行解密,如果这两段摘要一致,则接收方就可以确认该数字签名是发送方的

数字证书

数字证书包含以下信息:

  • X.509版本号,指出该证书使用了哪种版本的X.509标准
  • 证书持有人的公钥,包括证书持有人的公钥、算法(指明密钥属于哪种密码系统的标识符以及相关参数)
  • 证书的序列号,由CA给予每个证书分配的唯一的数字型编号,当证书被取消时,实际上是将此证书序列号放入由CA签发的CRL(Certificate Revocation List 证书作废表)
  • 主题信息:证书持有人的唯一标识符,这些信息指出该科目的通用单位名,组织单位,组织和国家或者证书持有人的姓名,服务处等信息
  • 证书的有效期
  • 认证机构,证书发布者,是签发该证书的实体唯一的X.500名字,使用该证书意味着新人签发整数的实体
  • 发布者的数字签名,这时使用发布者私钥生成的签名,以确保这个证书在发放之后没有被篡改过
  • 签名算法标标识符,用来指定CA签署证书时所使用的签名算法

数字证书颁发过程

  1. 申请者生成密钥对,自己保存私钥
  2. 将公钥和身份信息发送给CA
  3. CA验明身份
  4. CA对接收到的报文(即公钥和身份信息)进行Hash摘要
  5. 使用私钥对摘要进行加密签名,形成数字签名
  6. 生成数字证书发送给申请者
  7. 申请者对之前发送的报文(公钥和身份信息)使用同样的Hash算法进行摘要
  8. 申请者用CA的公钥对返回来的内容进行解密,之后同第7步生成的摘要进行比对,如果相同则代表证书无误

Android 签名流程

  1. Apk中的每个文件做一次摘要(数据摘要+Base64编码),保存到MANIFEST.MF文件中,每个文件为一个条目
  2. MANIFEST.MF整个文件做一次摘要(数据摘要+Base64编码), 存放到CERT.SF文件的头属性,之后对MANIFEST.MF文件中的每一个条目再做一次同样的摘要,并依次存放
  3. CERT.SF文件做签名,内容存储到CERT.RSA(同时包含有 开发者信息,开发者公钥,以及根据.MF, .SF文件的摘要经过私钥加密后的密文),RSA文件使不能直接查看明文的,这里可以使用openssl来查看
openssl pkcs7 -inform DER -in CERT.RSA -noout -print_certs -text

获取App自身签名

签过名的文件都可以获取到一个基于RSA算法的RSA public key, App自身的签名信息可以通过PackageInfo获取, 获取之后经过字符串转换和截取, 将RSA public key部分摘取出来即可:

/**
* get local app rsa public key
* @param ctx
* @return
* @throws IOException
* @throws PackageManager.NameNotFoundException
* @throws CertificateException
*/
private static String getLocalSignature(Context ctx) throws IOException,
            PackageManager.NameNotFoundException, CertificateException {
  String signCode = null;
  //get signature info depends on package name
  PackageInfo packageInfo = ctx.getPackageManager().getPackageInfo(
      ctx.getPackageName(), PackageManager.GET_SIGNATURES);

  Signature[] signs = packageInfo.signatures;
  Signature sign = signs[0];
  CertificateFactory certFactory = CertificateFactory.getInstance("X.509");
  X509Certificate cert = (X509Certificate) certFactory
      .generateCertificate(new ByteArrayInputStream(sign.toByteArray()));

  String pubKey = cert.getPublicKey().toString();
  String ss = subPublicSignature(pubKey);
  ss = ss.replace(",", "");
  ss = ss.toLowerCase();
  int aa = ss.indexOf("modulus");
  int bb = ss.indexOf("publicexponent");
  signCode = ss.substring(aa + 8, bb);

  return signCode;
}

验证签名的过程即在安装时根据同样的算法对Apk文件再做一遍上述的过程,之后对比两次的签名是否一致

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • Wireshark 抓包理解 HTTPS 请求流程
    目录 准备 分析2.1. 三次握手2.2. 创建 HTTP 代理(非必要)2.3. TLS/SSL 握手2.4. ...
    RunAlgorithm阅读 38,861评论 12 117
  • 什么是数字证书
    数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,...
    拉肚阅读 21,525评论 1 17
  • mac上安装django
    在学习python的过程中,django差不多是必学的东西,今天记录一下mac上安装django的过程。 因为ma...
    我没喝酒啊阅读 13,882评论 0 7
  • 迷失与行走
    当你的生活陷入平淡,整个人变得麻木。当你的前途陷入胶着,看不到任何希望或方向。当长期工作的你身心疲惫,精神透支。我...
    荆棘阑珊阅读 3,203评论 0 2