问题描述
我有一个 .keystore 证书(10 年前生成)来签署 apk,我正在使用 android sigingCOnfig 函数对其进行签名,并且使用 SHA1 哈希算法进行签名,谁能告诉我如何使用 SHA256 签名进行签名使用现有 .keystore 证书的算法?
解决方法
SHA1 和 SHA256 不是签名算法,而是哈希(又名摘要)算法。散列只是签名过程中使用的一种操作,密钥的强度(通常是密钥中使用的位数)是安全模型中同样重要的考虑因素,因为安全性与其最薄弱的环节一样好。>
尽管您可以选择密钥的强度(在最初生成密钥库时),但您无法选择在签名过程中使用哪种哈希算法。 Apksigner(Android Gradle 插件使用的)将自动选择您的应用支持的 Android 平台支持的最强哈希算法。换句话说,所使用的哈希算法将取决于您在应用中定义的 minSdkVersion 值和密钥类型(例如 RSA、DSA 等)。这是因为在更新的 Android 版本中添加了对更强大的签名/散列算法对的支持。
注意不要陷入一个常见的陷阱,即查看证书本身签名的哈希算法(而不是 APK 的签名)。此签名与 Android 安全模型无关,因此使用哪种哈希算法无关紧要。