एपीके सिग्नेचर स्कीम v3 की रोटेशन के समर्थन के साथ आ रहा है

एपीके सिग्नेचर स्कीम v3 को एंड्रॉइड ओपन सोर्स प्रोजेक्ट में देखा गया है, और यह कुंजी रोटेशन के लिए समर्थन लाता प्रतीत होता है।

यदि आप एक डेवलपर हैं या आप किसी भी तरह से संशोधित एपीके फ़ाइलों को डीकंपाइल करने, संशोधित करने और/या इंस्टॉल करने से परिचित हैं, तो आप संभवतः एप्लिकेशन हस्ताक्षर से परिचित हैं। सीधे शब्दों में कहें तो, एंड्रॉइड के लिए एक ऐप अनिवार्य है अवश्य सिस्टम को संबंधित ऐप को अपडेट करने की अनुमति देने के लिए उसी कुंजी से हस्ताक्षर किए जाने चाहिए। एंड्रॉइड एपीके हस्ताक्षर की जांच करके इसे सत्यापित करता है।

एपीके हस्ताक्षर एंड्रॉइड में एक बहुत ही बुनियादी सुरक्षा उपाय है, जिसके बारे में हम पहले बात कर चुके हैं। मूल रूप से, सभी हस्ताक्षर एक निश्चित डेवलपर या डेवलपर्स के समूह के लिए अद्वितीय होते हैं, इसलिए यदि एपीके में हस्ताक्षर/प्रमाणपत्र वैध नहीं है या मूल ऐप से मेल नहीं खाता है, तो इंस्टॉलेशन विफल हो जाएगा, इस प्रकार आपके एंड्रॉइड पर छेड़छाड़ की गई या नकली एपीके फ़ाइलों की स्थापना को रोका जा सकेगा उपकरण। डेवलपर को हस्ताक्षर कुंजियाँ भी सुरक्षित रूप से रखनी चाहिए क्योंकि वे सत्यापित करने के लिए महत्वपूर्ण हैं और अंततः, ऐप अपडेट को आगे बढ़ाते हैं। सौभाग्य से एपीके पर हस्ताक्षर करने के लिए हस्ताक्षर योजना को एक और संशोधन मिल रहा है - v3 - जो उच्च सुरक्षा मानकों को बनाए रखते हुए एक सुविधाजनक सुविधा जोड़ता प्रतीत होता है।


एपीके हस्ताक्षर योजना v1 और v2

वर्तमान एपीके सिग्नेचर स्कीम संस्करण, v2, को बहुत अधिक समय नहीं हुआ है। डेवलपर्स के लिए जारी किया गया था. आख़िरकार, इसे 2016 के अंत में एंड्रॉइड 7.0 नौगट के लॉन्च के साथ हमारे सामने पेश किया गया था। एंड्रॉइड 7.0+ ऐप्स में v2 हस्ताक्षर योजना का उपयोग करने को अत्यधिक प्रोत्साहित किया गया क्योंकि यह आवश्यक पैच की एक श्रृंखला लेकर आया था सुरक्षा सुधार: जबकि v1 ने केवल JAR पर हस्ताक्षर किए हैं, v2 संपूर्ण की अखंडता की सुरक्षा के लिए अतिरिक्त कदम उठाता है फ़ाइल। हालाँकि, हस्ताक्षर योजनाएँ पश्चगामी संगत नहीं हैं, और Android मार्शमैलो और उससे नीचे के ऐप्स के लिए v1 हस्ताक्षर की आवश्यकता होती है।

एपीके सत्यापन प्रक्रिया। स्रोत: गूगल.

जब तक आप विशेष रूप से नूगाट या उच्चतर पर उपयोगकर्ताओं को सेवा प्रदान नहीं कर रहे हैं, आदर्श परिदृश्य दोनों हस्ताक्षर योजनाओं को एक साथ उपयोग करना होगा, पहले v1 के साथ हस्ताक्षर करना और फिर v2 के साथ इस्तीफा देना। इस तरह, नूगट और उच्चतर v2 हस्ताक्षर को पहचान लेंगे, जबकि मार्शमैलो और निचला v1 हस्ताक्षर को पहचान लेंगे।

हालाँकि, केवल v1 का उपयोग करना कई कमजोरियों और अन्य सुरक्षा मुद्दों के कारण अत्यधिक हतोत्साहित किया जाता है, जिनमें से सबसे उल्लेखनीय है जानूस भेद्यता, जो हमलावरों को हस्ताक्षरों को प्रभावित किए बिना एपीके पर सीधे हमला करने और संशोधित करने की अनुमति देता है। इंस्टाग्राम या स्नैपचैट जैसे कभी-कभार अपडेट वाले लोकप्रिय ऐप्स केवल v1 हस्ताक्षर के साथ हस्ताक्षरित होते हैं, जिसका अर्थ है कि वे इन मुद्दों के प्रति संवेदनशील हैं।

लोकप्रिय सोशल मीडिया/भुगतान ऐप्स के एपीके साइनिंग संस्करणों की जाँच करना।

एपीके हस्ताक्षर योजना v3

V3 की सबसे बड़ी प्रमुख विशेषता, जिसका अर्थ v2 का संशोधन होगा, होगी कुंजी रोटेशन समर्थन. v3 हस्ताक्षर योजना एपीके साइनर वंश का परिचय देता है, जिसके अनुसार प्रतिबद्धताओं में से एक, "इसमें प्रत्येक पूर्वज द्वारा अपने वंशज की वैधता को प्रमाणित करने वाले प्रमाणपत्रों पर हस्ताक्षर करने का इतिहास शामिल है। प्रत्येक अतिरिक्त वंशज एक नई पहचान का प्रतिनिधित्व करता है जिसका उपयोग एपीके पर हस्ताक्षर करने के लिए किया जा सकता है। इस तरह, वंश में रोटेशन का प्रमाण होता है जिसके द्वारा एपीके युक्त यह अन्य को प्रदर्शित कर सकता है पार्टियों, इसके वर्तमान हस्ताक्षर प्रमाण पत्र पर भरोसा करने की इसकी क्षमता, जैसे कि यह इसके पुराने में से किसी एक द्वारा हस्ताक्षरित हो वाले।"

कुंजी रोटेशन कई मायनों में डेवलपर्स के लिए एक बेहतरीन सुविधा है। शुरुआत के लिए, यह एकल ऐप पर काम करने वाली टीमों के डेवलपर्स के लिए उपयोगी हो सकता है, इसलिए डेवलपर्स को टीम के साथ अपनी हस्ताक्षर कुंजी साझा करने की आवश्यकता नहीं है। चूँकि ऐप को अपडेट करने के लिए समान सटीक हस्ताक्षर की आवश्यकता होती है, इसलिए सभी ऐप्स को वर्तमान में एक ही डेवलपर या समूह द्वारा संकलित करने की आवश्यकता होती है डेवलपर्स एक ही कुंजी के साथ काम कर रहे हैं, जिससे सुरक्षा कम हो रही है (कुंजी चोरी होने की अधिक संभावना है) और विकास धीमा हो रहा है।

इसके अलावा, यह किसी डेवलपर की हस्ताक्षर कुंजी चोरी/खो जाने की स्थिति में भी उपयोगी हो सकता है आम तौर पर इसका मतलब यह होगा कि ऐप को एक अलग पैकेज के तहत प्ले स्टोर पर दोबारा अपलोड करना होगा नाम। यह बिल्कुल भी असामान्य मामला नहीं है, क्योंकि बहुत पहले Google ने भी स्पष्ट रूप से Google प्रमाणक ऐप के लिए हस्ताक्षर कुंजी खो दी थी, जिसके कारण उन्हें इसे एक अलग पैकेज नाम के तहत पुनः प्रकाशित करना पड़ा था। तब से, Google ने आपकी हस्ताक्षर कुंजियों को क्लाउड में सुरक्षित रूप से संग्रहीत करने का साधन प्रदान किया है Google Play ऐप साइनिंग, लेकिन कुंजी घुमाव आपको काल्पनिक गड़बड़ी की स्थिति में अपने ऐप को अपडेट करना जारी रखने की अनुमति देगा।

यह कब चल रहा है?

हालाँकि आप अतिरिक्त सुविधा के लिए इसे आज़माने के लिए उत्सुक हो सकते हैं, v3 हस्ताक्षर योजना को AOSP के आसपास तैरते हुए देखा गया था गेरिट कोड समीक्षा साइट, और कमिट्स को अभी मुख्य शाखा में विलय नहीं किया गया है, इसलिए यह अभी तैयार नहीं है अभी तक। हमें उम्मीद करनी चाहिए कि Android P की आगामी रिलीज़ के साथ v3 हस्ताक्षर योजना डेवलपर के हाथों में आ जाएगी यदि Android Nougat के साथ पिछली v2 रिलीज़ हमें कुछ बताती है।

हमें यह भी ध्यान रखना चाहिए कि कुंजी घुमाव, संभवतः, v2 पर एकमात्र अंतर नहीं है। एपीके सिग्नेचर स्कीम v3 पर अभी भी काम चल रहा है, इसलिए भविष्य में इसके लिए पूर्ण दस्तावेज सामने आने पर हम v3 सिग्नेचर स्कीम में वास्तविक सुधार देखेंगे।