АПК Сигнатуре Сцхеме в3 је примећена у Андроид Опен Соурце пројекту и чини се да доноси подршку за ротацију тастера.
Ако сте програмер или сте на било који начин упознати са декомпајлирањем, изменама и/или инсталирањем модификованих АПК датотека, вероватно сте упознати са потписима апликација. Поједностављено речено, Андроид налаже ту апликацију мора бити потписан истим кључем како би систем омогућио ажурирање дотичне апликације. Андроид ово потврђује провером АПК потписа.
АПК потписи су веома основна безбедносна мера у Андроиду, о којој смо раније говорили. У основи, сви потписи су јединствени за одређеног програмера или групу програмера, тако да ако потпис/сертификат у АПК-у није важећи или не подудара се са оригиналном апликацијом, инсталација неће успети, чиме се спречава инсталација неовлашћених или лажних АПК датотека на ваш Андроид уређај. Програмер такође мора безбедно да чува кључеве потписа јер су од виталног значаја за верификацију и, на крају, избацивање ажурирања апликације. Срећом, шема потписа за потписивање АПК-ова добија још једну ревизију — в3 — која изгледа додаје згодну функцију уз одржавање високих безбедносних стандарда.
Шема потписа АПК-а в1 и в2
Није прошло много од тренутне верзије АПК шеме потписа, в2, је објављен за програмере. Уосталом, једва да нам је представљен лансирањем Андроида 7.0 Ноугат, крајем 2016. године. Коришћење в2 шеме потписа у Андроид 7.0+ апликацијама је веома охрабрено јер је донело низ основних закрпа и безбедносна побољшања: док је в1 само потписао ЈАР, в2 предузима додатне кораке ка заштити интегритета целине фајл. Међутим, шеме потписа нису компатибилне унатраг, а Андроид Марсхмаллов и старије верзије захтевају в1 потписе за апликације.
Осим ако не пружате услуге корисницима на Ноугат-у или новијим, идеалан сценарио би био коришћење обе шеме потписа једна поред друге, тако што ћете прво потписати в1, а затим дати отказ са в2. На овај начин, Ноугат и виши ће препознати в2 потпис, док ће Марсхмаллов и нижи препознати в1 потпис.
Међутим, коришћење само в1 је веома обесхрабрено због низа рањивости и других безбедносних проблема, од којих је најзначајнији Јанусова рањивост, који омогућава нападачима да директно нападају и мењају АПК-ове без утицаја на потписе. Популарне апликације са ретким ажурирањима као што су Инстаграм или Снапцхат су потписане само са в1 потписима, што значи да су рањиве на ове проблеме.
АПК Сигнатуре Сцхеме в3
Највећа главна карактеристика в3, замишљена да буде ревизија в2, биће подршка за ротацију кључа. Тхе в3 шема потписа уводи АПК Сигнер Линеаге, који, према једна од обавеза, „садржи историју потписивања сертификата са сваким претком који потврђује валидност његовог потомка. Сваки додатни потомак представља нови идентитет који се може користити за потписивање АПК-а. На овај начин, лоза садржи доказ ротације којим АПК који га садржи може демонстрирати другим стране, њену способност да јој се повери тренутни сертификат за потписивање, као да га је потписао неко од старијих оне“.
Ротација кључева је одлична карактеристика за програмере на неколико начина. За почетак, ово може бити корисно за програмере у тимовима који раде на једној апликацији, тако да програмери не морају да деле своје кључеве за потписивање са тимом. Пошто је апликацији потребан исти тачан потпис за ажурирање, све апликације тренутно треба да компајлира исти програмер или група програмери који раде са истим кључем, смањујући безбедност (веће су шансе да кључ буде украден) и успоравајући развој.
Штавише, може бити корисно и у случају да програмеру украду/изгубе кључ за потписивање, што би обично значило да би апликација морала да се поново отпреми у Плаи продавницу под другим пакетом име. Ово уопште није неуобичајен случај, јер је давно чак и Гоогле очигледно изгубио кључ за потписивање за апликацију Гоогле Аутхентицатор, што их је довело до тога да је поново објаве под другим именом пакета. Гоогле је од тада обезбедио средства за безбедно складиштење ваших кључева за потписивање у облаку Потписивање Гоогле Плаи апликација, али ротација тастера би вам омогућила да наставите са ажурирањем апликације у случају хипотетичког нереда.
Када се покреће?
Иако сте можда жељни да га испробате ради додатне погодности, в3 шема потписа је примећена како плута око АОСП-а Геррит Цоде Ревиев сајт, а сама урезивања тренутно нису спојена у главну грану, тако да није спремна само ипак. Требало би да очекујемо да ће в3 шема потписа доћи у руке програмера са предстојећим издањем Андроида П ако нам претходно издање в2 са Андроид Ноугат-ом нешто говори.
Такође треба да приметимо да ротација тастера, врло вероватно, није једина разлика у односу на в2. АПК Сигнатуре Сцхеме в3 је још увек у току, тако да ћемо видети стварна побољшања в3 шеме потписа када комплетна документација за њу буде објављена у будућности.