Penandatanganan aplikasi memungkinkan pengembang untuk mengidentifikasi pembuat aplikasi dan memperbarui aplikasi mereka tanpa membuat antarmuka dan izin yang rumit. Setiap aplikasi yang dijalankan pada platform Android harus ditandatangani oleh pengembangnya . Aplikasi yang mencoba memasang tanpa ditandatangani akan ditolak oleh Google Play atau pemasang paket di perangkat Android.
Di Google Play, penandatanganan aplikasi menjembatani kepercayaan yang dimiliki Google dengan pengembang dan kepercayaan yang dimiliki pengembang terhadap aplikasi mereka. Pengembang tahu bahwa aplikasi mereka disediakan, tidak dimodifikasi, ke perangkat Android; dan pengembang dapat dimintai pertanggungjawaban atas perilaku aplikasi mereka.
Di Android, penandatanganan aplikasi adalah langkah pertama untuk menempatkan aplikasi di Kotak Pasir Aplikasinya. Sertifikat aplikasi yang ditandatangani menentukan ID pengguna mana yang dikaitkan dengan aplikasi mana; aplikasi yang berbeda dijalankan dengan ID pengguna yang berbeda. Penandatanganan aplikasi memastikan bahwa satu aplikasi tidak dapat mengakses aplikasi lain kecuali melalui IPC yang ditentukan dengan baik.
Saat aplikasi (file APK) diinstal ke perangkat Android, Manajer Paket memverifikasi bahwa APK telah ditandatangani dengan benar dengan sertifikat yang disertakan dalam APK tersebut. Jika sertifikat (atau, lebih tepatnya, kunci publik dalam sertifikat) cocok dengan kunci yang digunakan untuk menandatangani APK lain di perangkat, APK baru memiliki opsi untuk menentukan dalam manifes bahwa APK tersebut akan berbagi UID dengan APK lain yang serupa. APK yang ditandatangani.
Aplikasi dapat ditandatangani oleh pihak ketiga (OEM, operator, pasar alternatif) atau ditandatangani sendiri. Android menyediakan penandatanganan kode menggunakan sertifikat yang ditandatangani sendiri yang dapat dibuat oleh pengembang tanpa bantuan atau izin eksternal. Permohonan tidak harus ditandatangani oleh otoritas pusat. Android saat ini tidak melakukan verifikasi CA untuk sertifikat aplikasi.
Aplikasi juga dapat mendeklarasikan izin keamanan pada tingkat perlindungan Tanda Tangan, membatasi akses hanya ke aplikasi yang ditandatangani dengan kunci yang sama sambil mempertahankan UID dan Kotak Pasir Aplikasi yang berbeda. Hubungan yang lebih dekat dengan Application Sandbox bersama diperbolehkan menggunakan fitur UID bersama di mana dua atau lebih aplikasi yang ditandatangani dengan kunci pengembang yang sama dapat mendeklarasikan UID bersama dalam manifesnya.
Skema penandatanganan APK
Android mendukung tiga skema penandatanganan aplikasi:
- skema v1: berdasarkan penandatanganan JAR
- skema v2: APK Signature Scheme v2 , yang diperkenalkan di Android 7.0.
- skema v3: APK Signature Scheme v3 , yang diperkenalkan di Android 9.
Untuk kompatibilitas maksimal, tandatangani aplikasi dengan semua skema, pertama dengan v1, lalu v2, lalu v3. Perangkat Android 7.0+ dan yang lebih baru menginstal aplikasi yang ditandatangani dengan skema v2+ lebih cepat dibandingkan aplikasi yang hanya ditandatangani dengan skema v1. Platform Android lama mengabaikan tanda tangan v2+ sehingga memerlukan aplikasi yang memuat tanda tangan v1.
Penandatanganan JAR (skema v1)
Penandatanganan APK telah menjadi bagian dari Android sejak awal. Hal ini didasarkan pada JAR yang ditandatangani . Untuk detail tentang penggunaan skema ini, lihat dokumentasi Android Studio tentang Menandatangani aplikasi Anda .
tanda tangan v1 tidak melindungi beberapa bagian APK, seperti metadata ZIP. Pemverifikasi APK perlu memproses banyak struktur data yang tidak tepercaya (belum diverifikasi) dan kemudian membuang data yang tidak tercakup dalam tanda tangan. Ini menawarkan permukaan serangan yang cukup besar. Selain itu, pemverifikasi APK harus membuka kompresi semua entri yang dikompresi, sehingga menghabiskan lebih banyak waktu dan memori. Untuk mengatasi masalah ini, Android 7.0 memperkenalkan APK Signature Scheme v2.
APK Signature Scheme v2 & v3 (skema v2+)
Perangkat yang menjalankan Android 7.0 dan lebih baru mendukung skema tanda tangan APK v2 (skema v2) dan lebih baru. (skema v2 diperbarui ke v3 di Android 9 untuk menyertakan informasi tambahan di blok penandatanganan, namun cara kerjanya sama.) Konten APK di-hash dan ditandatangani, kemudian Blok Penandatanganan APK yang dihasilkan dimasukkan ke dalam APK. Untuk detail tentang penerapan skema v2+ ke aplikasi, lihat APK Signature Scheme v2 .
Selama validasi, skema v2+ memperlakukan file APK sebagai blob dan melakukan pemeriksaan tanda tangan di seluruh file. Modifikasi apa pun pada APK, termasuk modifikasi metadata ZIP, akan membuat tanda tangan APK tidak valid. Bentuk verifikasi APK ini jauh lebih cepat dan memungkinkan deteksi lebih banyak jenis modifikasi yang tidak sah.
Format baru ini kompatibel dengan versi sebelumnya, sehingga APK yang ditandatangani dengan format tanda tangan baru dapat diinstal pada perangkat Android lama (yang mengabaikan data tambahan yang ditambahkan ke APK), selama APK tersebut juga bertanda tangan v1.
Hash seluruh file APK diverifikasi terhadap tanda tangan v2+ yang disimpan di Blok Penandatanganan APK. Hash mencakup semuanya kecuali Blok Penandatanganan APK, yang berisi tanda tangan v2+. Modifikasi apa pun pada APK di luar Blok Penandatanganan APK akan membatalkan tanda tangan v2+ APK. APK dengan tanda tangan v2+ yang dihilangkan juga akan ditolak, karena tanda tangan v1-nya menetapkan bahwa APK tersebut ditandatangani dengan v2, sehingga Android 7.0 dan yang lebih baru menolak memverifikasi APK menggunakan tanda tangan v1-nya.
Untuk detail tentang proses verifikasi tanda tangan APK, lihat bagian Verifikasi pada APK Signature Scheme v2.