ben daraltabilmeniz iki şeyle bu soruyu Önsöz istiyor:Android'in uygulama/imza doğrulaması nasıl çalışır? Benim asıl soru burada
a) aşinayım asla) android
b rağmen ben daha önce yazılım dev yaptık PKI ve şifreleme ve Bozma ve dijital imza ile vesaire vesaire
sorun Android uygulaması yaratıcıları doğrular nasıl nerede ve hakkında daha fazla bilgi izini yaşıyorum söyleniyor. Çok fazla farklı bilgi duydum, bu yüzden iş akışı hakkında daha iyi bir fikir edinmek için sentezlemeye çalışıyorum.
Her uygulama geliştiricisinin kendi özel/ortak anahtar çiftini aldığını ve APK'lerini (yanlışlıkla yanılmıyorsa SHA-1 ile) uygulamaya geçirerek uygulamalarını imzaladıklarını biliyorum. Yüklersiniz ve (inanıyorum) kamu anahtarı APK içinde META INF'e gider. Bu kadarını anlıyorum.
Sorum bu kullanıcının uygulamayı kendisi indirdiğinde nasıl ilişkili olduğunu. Telefonun, uygulamanın geçerli bir şekilde imzalandığından ve imza ile yazar hakkında bilgi verdiğinden emin olmak için telefon kontrollerini biliyorum. Ancak, uygulamaların kendiliğinden imzalandığını ve Google Play'in (veya şu anda Market'i aradıkları her neyse) bir CA'yı uygulamadığını ve kimlik doğrulamalarının olmadığını da okuduğumu da okudum. Ama sorum şu, insanların başka bir geliştiricinin adı altında bir uygulamayı yüklemesini engelliyor (bir kenara koymayı)?
Telefon sadece geçerli imzalar için Onaylarsa yaptığı uygulama yüklendiğinde onaylaması için tek vasıta yapıldığını ima? Ve durum buysa, uygulama pazarı nasıl kontrol eder? Her zamanki gibi - özel anahtarını dosyada kullan ve imzayı doğrula? Ya da geliştiricinin, kimliğini doğrulamak için kendi özel anahtarıyla pazara sunması gerekiyor mu? Kısacası
Eğer özel şifreyi kullanmak zorundadırlar. Yani birisinin bir uygulamayı "başka biri olarak" yayınlayabilmesi için anahtar deposu/anahtar dosyalarına ve şifrelerine erişmeleri gerekir. Ve pazara bağlı Google Hesabı'na erişim. – FoamyGuy
@Tim: Sanırım şu soruyu soruyor: Bir başkasının kendi keypair'lerini oluşturmasını engellemenin yanı sıra "Fewmitz" de yazan kendinden imzalı bir sertifika. Bir şekilde bir yerle bağlantılı mı? –