從事ios開發兩年多了�����,日常的精力主要放在公司的業務上,最近決定開始寫一些技術方面的東西����,記錄自己今后的學習歷程,也希望和愛好移動開發的朋友多多交流學習����。
下面切入正題�����,以前對ios的簽名機制不太了解,只知道配置個開發者證書用于調試和打個企業包什么的����,遂花了點時間去學習一下ios的打包簽名機制����,由于初學�,本文的不足或是錯誤之處,還望多多批評指教�����。
一��、非對稱算法和數字簽名
區別之前的對稱加密算法(加密解密用的是同一個秘鑰)�����,非對稱加密算法需要兩個秘鑰,即公鑰和私鑰來進行加密和解密���,它倆是成對出現的,如果用公鑰加密的內容��,只有對應的私鑰才能解密�,反之,用私鑰加密的內容����,只有對應的公鑰才能解密。相對于對稱算法����,該算法安全性高�,只要私鑰不泄露�,就能保證通信雙方的安全,缺點是加密和解密花費時間長。例如HTTPS協議在SSL層就用到了非對稱算法�。 數字簽名是一種對數字內容進行校驗的方法�,它首先對內容使用摘要算法(例如md5算法)生成一段固定長度的文本�����,可以理解為原內容的摘要����,然后利用私鑰加密摘要�����,得到原內容的數字簽名�����。接受方同時接收到與原內容和數字簽名,首先用相同的摘要算法生成原內容的摘要(摘要1)����, 同時用公鑰解密數字簽名�����,得到摘要2�,然后比較摘要1和摘要2���,若相同�,則驗證原內容有效�。具體流程如圖1.1:
二、申請數字證書
數字證書是蘋果公司數字簽名后的數字化證書,是ios系統校驗App的核心。以下是數字證書的申請過程:
1、開發者首先在keyChain中生成一個證書申請文件(CertificationSigningRequest����,簡稱CSR)���,該文件包含開發者的信息��、公鑰、公鑰加密算法和摘要算法,在這個過程中�,首先會產生一個開發者使用的私鑰���,保存在keyChain中��。
2、開發者上傳CSR文件給Apple的MemberCenter(簡稱MC),蘋果公司會根據該文件生成一個證書�,包含兩部分�,即證書的內容和一段Apple的數字簽名���,如下圖:
數字簽名是蘋果利用自己的私鑰加密證書內容摘要得到的���,是為了驗證證書的有效性����。ios系統本身裝有蘋果公司的公鑰,并通過圖1.1的方式進行校驗,如果摘要一致�����,證明數字證書的有效�。蘋果提供的證書有開發、調試證書,企業版發布證書,上架和AddHoc證書���,類型不同�,功能亦不相同。如果是團隊開發�����,可以將證書導出生成.p12文件給其他人安裝�����。
三��、描述文件(mobilePRovision)
描述文件也是通過蘋果的MC下載得到,里面包含了證書�����、AppId和設備UDID���,除了這些還有授權信息���,規定了App能夠使用的服務有哪些���。
四����、App打包簽名、校驗
Xcode在打包生成ipa文件的過程中����,利用當前證書的私鑰進行代碼����、資源文件的數字簽名���,并且將其存放在ipa文件夾的_CodeSignature文件夾下�����,圖1.3是ipa文件的結構圖�����。當App安裝到ios系統上時,系統首先通過描述文件找到數字證書����,通過證書里的蘋果數字簽名��,驗證證書的有效性,如果證書有效�����,取出證書中的開發者公鑰��,解密App的數字簽名�,如果發現摘要一致����,則驗證通過,App成功安裝在手機上��,其中一個環節有問題�,驗證工作就失敗,圖1.4是校驗過程��。
五����、相關參考
代碼簽名探析
iOS Code Signing 學習筆記
漫談iOS程序的證書和簽名機制
