Алгоритм подписи Android SHA256 с сертификатом, имеющим алгоритм SHA1

Мой вопрос является продолжением этого: Могу ли я указать алгоритм дайджеста, который использует apksigner? ?

Я подписываю APK с помощью apksigner и, следуя рекомендациям в сообщении выше, я поднял minSDK до 18+. Как и ожидалось, результирующий дайджест MANIFEST.MF и ANDROID.SF сообщает о хэшах дайджеста SHA-256 для файлов в пакетах вместо хэшей дайджеста SHA-1.

Отрывок Android-minSDK18.SF

Отрывок Android-minSDK16.SF

Однако печать сертификата .RSA с keytool -printcert -file "ANDROID - minSDK18.RSA" или keytool -printcert -file "ANDROID - minSDK16.RSA" дает тот же результат при указании алгоритма подписи SHA1withRSA.

Вероятно, это связано с тем, что SHA1withRSA — это алгоритм подписи, встроенный в сертификат:

Мой вопрос заключается в том, чтобы узнать, влияет ли алгоритм подписи сертификата, используемого для подписи APK, на проблемы коллизии SHA-1, даже если APK подписан с помощью алгоритма SHA-256.

gbaccetta 13.09.2017 источник

Ответы (1)

arrow_upward
1
arrow_downward

Нет, алгоритм подписи внутри сертификата подписи приложения — алгоритм, используемый эмитентом сертификата для подписи сертификата — не влияет на безопасность вашего приложения для Android. Причина в том, что Android не проверяет эту криптографическую подпись в сертификате подписи приложения.

Для получения дополнительной информации, все, что имеет значение для Android в сертификате подписи приложения, это:

он анализирует,
он заявляет, что его открытый ключ может использоваться для цифровых подписей,
(только при обновлении уже установленного приложения) он идентичен сертификату подписи приложения текущей установленной версии приложения.

Alex Klyubin 13.09.2017

comment

Спасибо за ваш ответ. Это то, о чем я думал, но я действительно хотел, чтобы кто-то более опытный, чем я, пришел к такому же выводу. - gbaccetta; 19.09.2017

Алгоритм подписи Android SHA256 с сертификатом, имеющим алгоритм SHA1

Ответы (1)

Вопросы по теме