Schlagwort-Archive: signature

Android : Signieren von Apps How To

Android-Apps werden dem Benutzer bekanntermaßen in Form von APK-Dateien bereitgestellt. Weniger bekannt ist, dass diese APKs neben der Software selbst auch eine Signatur enthalten, die ihre Integrität und Authentizität garantieren soll.

APKs mit Entwicklungs-Versionen einer Software sind mit dem Android-SDK-Schlüssel signiert, der mit dem SDK ausgeliefert wird. Dieser ist jedoch nicht zur Verwendung in App-Repositorien gedacht bzw. zulässig. Um APKs veröffentlichen zu können, muss sich ein Entwickler selbst einen Signaturschlüssel anlegen, ein Zertifikat das seine Identität mit einem Schlüsselpaar verbindet. Bei Android-Apps muss dieses Zertifikat nicht von einer vertrauenswürdigen Stelle signiert sein. Das wäre ein vergleichsweise umständlicher Vorgang, der zudem mit Kosten verbunden wäre und die Entwicklung bzw. Veröffentlichung von Apps behindern würde. Die Signatur erfüllt damit aber auch nicht den Zweck für Dritte eine echte Vertrauenswürdigkeit herzustellen. Er verhindert jedoch, dass gefälschte Nachfolgeversionen einer App veröffentlicht werden. Der Schlüssel eines Entwicklers hat daher eine ausgesprochen lange Gültigkeit, wird aber beim ersten Hochladen einer App nicht auf Echtheit geprüft.

Die Verwendung eines Email-Schlüssels (PGP) ist (nach Konvertierung) möglich.