iOS数字签名及ipa重签名


ipa重签名作用:

作用一:

有时候公司在进行软件开发的时候, 发布软件初期使用的是个人账号或者是公司账号,但是因为某种需要要使用企业账号进行分发这个应用,但是这时候可能出现一个问题就是不能再次使用原来的Bundle ID了,苹果规定Bundle ID必须是唯一的,更换Bundle ID就可以解决问题。但是新的问题就出现了,因为原先的微博、统计、以及推送的功能就失效了,这样又要重新配置新的BundleId,而且会对以前的版本造成影响。这时候就要使用到ipa重签解决问题了。

作用二:

手机不想越狱,但是又想使用App Store上面的收费软件,我们如何解决呢?其实很多苹果助手就是用企业证书把App重签提供下载的。作为iOS开发者的我们,也可以使用自己的证书进行重签,以测试的身份使用App。

重签名原理

数字签名使用了非对称加密和摘要算法的结合。假设有一段原文本需要发布,为了防止中途文本类容被篡改,保证文本的完整性以及文本是由指定机构发的。首先,将原文本内容通过摘要算法,得到摘要,在用指定机构的私钥对摘要进行加密得到密文,加原文本、密文和私钥对应的公钥一并发布。当验证方拿到这些信息后,首先验证公钥是不是指定机构的,然后用公钥对密文进行解密得到摘要,将原文本内容用同样的摘要算法得到摘要,两个摘要进行对比,如果相等那么文本正常,否则文本无效。

screenshot.png

CertificateSigningRequest.certSigningRequest

我们生成开发者证书的第一步是开发者在KeyChain中生成一个证书申请文件(CSR),该文件包含信息:

申请者的信息,此信息使用申请者的私钥加密的

申请者公钥,此信息是申请者使用的私钥对应的公钥

摘要算法(SHA1)和公钥加密算法(RSA)

开发者证书

苹果去除CSR中的公钥,不管我的其他信息,将我MemberCenter(MC)中的账号信息和我提交的公钥封装在证书中,并进行数字签名(由苹果的认证部门 Apple Worldwide Developer Relations CA签名)。当我们下载证书并安装后,KeyChain会自动将这对密钥关联起来。

screenshot.png

配置文件

配置文件包含信息:

App ID。

使用了哪些证书。不同种类发布方式的证书和推送证书APN等。

功能授权列表。

可安装的设备列表。

苹果的签名!

其中苹果的签名是苹果签的,和我们的私钥没有关系。因此配置文件只能从MC获取,且获取后无法修改。苹果通过配置文件限制了前面四项内容,从而将控制权牢牢的抓在手中。

ipa的组成

ipa解压后,得到Payload目录,其中的内容如下:

screenshot.png

1.资源文件。例如图片、html等。

2._CodeSignature/CodeResources。这是一个plist文件,可用文本查看,其中的内容就是是程序包中(不包括Frameworks)所有文件的签名。注意这里是所有文件。意味着你的程序一旦签名,就不能更改其中任何的东西,包括资源文件和可执行文件本身。iOS系统会检查这些签名。

3.app。可执行文件。此文件跟资源文件一样需要签名。

4.embedded mobileprovision。打包时候使用的,从MC上生成的。

5.Frameworks。程序引用的非系统自带的Frameworks,每个Frameworks其实就是一个app,其中的结构应该和app差不多,也包含签名信息CodeResources文件。

Xcode构建过程中,使用签名的重要过程就是通过codesign命令行工具对工程文件进行私钥加密。

iOS设备如何验证app是否合法

关键步骤:

1.解压ipa。

2.取出embedded mobileprovision,通过签名校验是否被篡改过。包括几个证书中的公钥、BundleID、App ID、功能列表、设备列表等等。

3.校验所有文件的签名,包括Frameworks。

4.比对Info.plist文件里面的BundleID是否符合embedded mobileprovision文件中的。

ipa重签名的流程

大致步骤:

1.解压ipa。

2.如果存在Frameworks子目录,则对.app文件夹下的所有Frameworks进行签名,在Frameworks文件夹下的.dylib或.framework。

3.对xxx.app签名。

4.重新打包。

重签名具体步骤

主要是替换ipa包里面的_CodeSignature和embedded.mobileprovision两个文件,以及entitlements.plist授权文件。

1.解压ipa安装包

cp olinone.ipa olinone.zip

2、替换证书配置文件(文件名必须为embedded,不得自定义)

cp embedded.mobileprovision Payload/olinone.app

3、重签名(certifierName为重签名证书文件名,可以加证书ID后缀)

certifierName="iPhone Distribution: olinone Information Technology Limited(6a5TVN58SY)"
codesign -f -s $certifierName --entitlements entitlements.plist Payload/olinone.app

4、打包

zip -r olinone.ipa Payload

ipa表示是证书ID + BundleID,只有两者完全匹配,安装包才能覆盖安装,否则就会提示安装失败。解决办法就是卸载安装包,重新安装!

还可以使用iReSign工具重签名(https://github.com/maciekish/iReSign)。

1.代码签名探析

2.漫谈iOS程序的证书和签名机制

3.Inside Code Signing

 

企业签名QQ:281442504

分享到