我想前面加上两件事情这个问题,所以我可以缩小在我的实际问题是:
一)我以前做软件开发,虽然从来没有为Android
B)我熟悉PKI和加密和哈希和数字签名等等等等
话虽这么说,我无法跟踪在哪里和Android如何验证应用程序的创作者的更多信息。 我听说过很多不同的信息,所以我想合成,以获得工作流程的一个更好的主意。
我知道,每一个应用程序开发者得到他们自己的私有/公共密钥对,他们通过散列APK(与SHA-1的大部分时间,如果我没有记错),签上自己的应用程序和你去。 你上传和(我相信)公钥云在APK中META INF。 这一点我明白了。
我的问题是如何,这涉及在用户下载应用程序本身。 我知道手机进行检查,以确保应用程序进行了有效签名,而且签名也有关于作者和等信息包括在内。 但是,我也看到了那个应用程序是自签名和谷歌播放(或任何他们现在叫市场)没有实现CA,并没有身份认证? 但我的问题是什么,然后停止,人们在另一个开发商名称上传应用程序(众包除外)?
如果手机只检查有效签名这是否意味着认证的唯一手段,当应用程序被上传完成? 如果是这样的话如何应用市场的检查呢? 它是常用的 - 使用在文件中的私钥和验证签名? 抑或是开发商必须为市场提供自己的私钥进行身份验证?