APK - Android - digitaalisen allekirjoituksen hallinta ?

Anonyymi

Käyttämäni ohjelmistotyöväline toimii Android -sovellusta tuottaessa tavalla, joka on tietysti erittäin miellyttävä ensimmäistä Android -sovellusta tehtäessä, kun se tavallaan "käyttäjän puolesta" huolehtii automaattisesti luodun APK -sovellusasennuspaketin digitaalisesta allekirjoituksesta.

Mutta vaikka tuo on ensimmäistä Android -sovellusta tehtäessä kätevää, niin jos sovellus on tarkoitus laittaa yleiseen jakeluun esim. Google Play:n kautta, niin mielestäni tuo EI OLE se paras tapa.

Koska käsittääkseni yksi "Android Storage" -luokista on sellainen, että vain sama sovellus näkee luodut tiedostot ja pääsee niihin käsiksi.

Jos luodaan vaikkapa pankkisovellus, niin tämä saattaa olla tietoturvan kannalta hyvä asia, että muut sovellukset eivät edes salatussa muodossakaan pääse käsiksi pankkisovelluksen tallentamiin kirjautumistietoihin.

Mutta: kun tuo perustuu APK -tiedoston digitaaliseen allekirjoittamiseen, niin pitäisihän salausavaimista tehdä varmuuskopio turvalliseen paikkaan, niin että voin palauttaa salausavaimet varmuuskopiolta, jos tietokone varastetaan tai menee niin pahasti rikki, ettei kiintolevyllä oleviin tiedostoihin enää pääse käsiksi.

Entä, jos otan tuon automaattisen digitaaliseen allekirjoittamisen pois käytöstä, löytyykö jostain sovellusta, jolla voi tehdä digitaaliseen allekirjoittamisen APK -tiedosoon Android -käyttöjärjestelmän hyväksymällä tavalla siten, että saa itse hallita niitä salausavaimia, jolloin niistä voi myös tehdä varmuuskopion ja laittaa sen turvalliseen paikkaan ?

Salausavaimissa liika automatisointi on pahasta, koska tällöin esim. kiintolevyn rikkoutuminen johtaa tilanteeseen, jossa niitä salausavaimia ei löydy enää mistään !

2

83

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Anonyymi

      Yleensä lähdekoodit on erillään softapaketeista ja apk on softapaketti. Voidaan lisätä versionhallintaan vaikka release-tagi ja samalla tagilla pistää allekirjoitusavain versiohallintaan, jolla apk on allekirjoitettu. Yleensä ottaen automaatio tekee tuon eli avaimista ei tarvitse missään vaiheessa huolehtia itse - ne vain on siellä! Käännöksen yhteydessä ilmestyy avaimet ja menee versiohallintaan.
      Yleensä nuo julkaisuavaimet on erillään kehitysavaimista, jolloin voidaan tarkistaa esim. vuotaneesta ohjelmasta, kenen kehittäjän koneelta vuoto on tapahtunut. Mutta eri paikoissa toimitaan tietysti eri tavoilla..

      • Anonyymi

        Siis tarkoitus olisi, että olisi vaikkapa Windows -komentoriviohjelma SIGNAPK.exe

        ja sitten näin:

        SIGNAPK allekirjoittamaton.APK allekirjoitettu.APK -keysource Z:\APK_SIGNING_KEY.dat

        Eli tuo SIGNAPK -ohjelma lukee allekirjoitusavaimen tiedostosta Z:\APK_SIGNING_KEY.dat, ja käyttää sitä tiedoston allekirjoittamaton.APK digitaaliseen allekirjoittamiseen ja laittaa allekirjoitetun version kiintolevylle tiedostoon allekirjoitettu.APK jonka voi sitten uploadata vaikkapa Google Play -palveluun.

        Tai, jos en käytä Google Play -palvelua ohjelmani jakeluun niin voisin vaihtoehtoisesti koodata ohjelmani niin että tietyssä kohtaa apk -tiedostossa on pelkkää nollaa peräkkäin, mutta ennen allekirjoittamista voisin apuohjelmalla lisätä vaikkapa käyttäjäkohtaisen avaimen ja sitten allekrjoittaa tuon yhdelle käyttäjälle räätälöidyn version, ja tarjota ko. käyttäjälle suoran APK -tiedoston latauslinkin.

        Nythän jos kaikki lataavat täsmälleen saman APK:n Google Playsta, niin ei siinä voi olla mitään käyttäjäkohtaista avainta kun se on kaikille sama.

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Taasko se show alkaa

      Koo osottaa taas mieltään
      Ikävä
      27
      1378

    2. Minun oma kaivattuni

      Ei ole mikään ilkeä kiusaajatyyppi, vaan sivistynyt ja fiksu sekä ystävällinen ihminen, ja arvostan häntä suuresti. Raka
      Ikävä
      61
      1251

    3. Miksi ihmeessä nainen seurustelit kanssani joskus

      Olin ruma silloin ja nykyisin vielä rumempi En voi kuin miettiä että miksi Olitko vain rikki edellisestä suhteesta ja ha
      Ikävä
      9
      1185

    4. Persut nimittivät kummeli-hahmon valtiosihteeriksi!

      Persujen riveistä löytyi taas uusi törkyturpa valtiosihteeriksi! Jutun perusteella järjenjuoksu on kuin sketsihahmolla.
      Perussuomalaiset
      29
      1135

    5. Onko ministeri Juuso epäkelpo ministerin tehtäviensä hoitamiseen?

      Eikö hänellä ole kompetenttia hoitaa sosiaali- ja terveysministetin toimialalle kuuluvia ministerin tehtäviä?
      Perussuomalaiset
      15
      1091

    6. Tervehdys!

      Sä voit poistaa nää kaikki, mut mä kysyn silti A:lta sen kokemuksia sun käytöksestä eron jälkeen. Btw, miks haluut sabot
      Turku
      64
      1067

    7. Elia tulee vielä

      Johannes Kastaja oli Elia, mutta Jeesus sanoi, että Elia tulee vielä. Malakian kirjan profetia Eliasta toteutuu kokonaan
      Helluntailaisuus
      32
      1034

    8. Sakarjan kirjan 6. luku

      Jolla korva on, se kuulkoon. Sain profetian 22.4.2023. Sen sisältö oli seuraava: Suomeen tulee nälänhätä niin, että se
      Profetiat
      7
      1033

    9. Nellietä Emmaa ja Amandaa stressaa

      Ukkii minnuu Emmaa ja Amandaa stressaa ihan sikana joten voidaanko me koko kolmikko hypätä ukin kainaloon ja syleilyyn k
      Isovanhempien jutut
      6
      1032

    10. Pelastakaa Lapset: Netti ei ole turvallinen paikka lapsille - Erätauko-tilaisuus to 25.4.2024

      Netti ei ole turvallinen paikka lapsille, mutta mitä asialle voi vanhempana tehdä? Torstaina 25.4.2024 keskustellaan ne
      Suomi24 Blogi ★
      13
      1023
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt