關(guān)于加密、簽名及證書

   去年在開發(fā)一個(gè)安卓小游戲的時(shí)候，還煞有其事地對(duì)apk包做了個(gè)人簽名。當(dāng)時(shí)只是照貓畫虎的按書上說的步驟來做，也沒深究為什么。最近比較詳細(xì)的了解了一下java的安全機(jī)制，才發(fā)現(xiàn)原來有那么多一知半解的問題。

   先從非對(duì)稱加密的公鑰、私鑰機(jī)制說起。所謂非對(duì)稱就是指用私鑰加密的內(nèi)容要用公鑰來解密（反過來用公鑰加密也一樣必須要用私鑰來解密。公、私其實(shí)是對(duì)等的一對(duì)兒，并非指技術(shù)方面，而是針對(duì)發(fā)布范圍來說的）

   有了這種加密、解密的唯一性，我們就可以有這樣一些結(jié)論：用私鑰/公鑰加密的，只有通過對(duì)應(yīng)的公鑰/私鑰來解密；而能用某個(gè)公鑰/私鑰解開的，一定是用其私鑰/公鑰加密的。有點(diǎn)繞嘴，其實(shí)不難理解。利用這個(gè)特性，我們就可以達(dá)到一些互為驗(yàn)證的目的。

然后介紹一下相關(guān)操作。先說關(guān)于keystore的：

Keystore是存儲(chǔ)密鑰對(duì)集合的文件，所以也叫密鑰庫文件（之前都不知道可以存儲(chǔ)多個(gè)）。利用jdk工具是這樣生成的：

keytool -genkey -alias mykey1 -keypass <這個(gè)key的密碼> -validity 1000 -keystore xxx.keystore

如果這個(gè)xxx.keystore文件還不存在，那么會(huì)新生成一個(gè)，同時(shí)要求輸入一個(gè)對(duì)xxx.keystore文件進(jìn)行讀寫的密碼。這個(gè)和keypass后的密碼參數(shù)不需要相同。

繼續(xù)一條：

keytool -genkey -alias mykey2 -keypass <這個(gè)key的密碼> -validity 1000 -keystore xxx.keystore

這個(gè)時(shí)候xxx.keystore文件已經(jīng)存在了，所以這個(gè)命令是再追加進(jìn)去一個(gè)密鑰對(duì)。所以輸入第一次設(shè)定的讀寫密碼即可。

從字面意義看會(huì)以為alias是個(gè)可有可無的別名，但其實(shí)不是，這個(gè)參數(shù)是必須的，是一對(duì)密鑰的“正式”的名字。即便我們不輸入這個(gè)參數(shù)：-alias mykey1，那么系統(tǒng)也會(huì)自動(dòng)生成一個(gè)叫做mykey的密鑰對(duì)名字；

如果沒有這個(gè)參數(shù)：-keypass <這個(gè)key的密碼>，那么系統(tǒng)會(huì)提示輸入。當(dāng)然直接回車是設(shè)定為和庫文件的讀寫密碼相同。

那么現(xiàn)在呢，實(shí)際上xxx.keystore里已經(jīng)存了兩個(gè)密鑰對(duì)，mykey1和mykey2?？梢杂眠@個(gè)命令查看：

Keytool –list –keystore xxx.keystore，當(dāng)然查看也是需要輸入密碼的

有了這些密鑰對(duì)，即可以對(duì)jar文件進(jìn)行簽名了。命令是這樣的：

jarsigner -keystore xxx.keystore -storepass <文件讀寫密碼> -keypass <這個(gè)key的密碼> xxx.jar mykey1

同樣的，如果沒有這個(gè)參數(shù)：-storepass <文件讀寫密碼>，系統(tǒng)會(huì)要求輸入。沒有這個(gè)參數(shù)：-keypass <這個(gè)key的密碼>，一種情況是mykey1的密碼和庫密碼相同，那么就可以簽名成功。如果不同，那就會(huì)報(bào)錯(cuò)。

導(dǎo)出公鑰為一個(gè)證書，命令是：

Keytool –export –file xxx.cer –keystore xxx.keystore –alias mykey1，輸入庫密碼后，會(huì)生成一個(gè)xxx.cer的證書文件。

一個(gè)庫里可以有多個(gè)密鑰，但一個(gè)證書里只有一個(gè)公鑰。用命令keytool -printcert -file xxx.cer查看證書，結(jié)果是庫密鑰列表中的一個(gè)。

私鑰一般用命令導(dǎo)不出來（也沒有導(dǎo)出的必要）。但是可以用寫代碼來導(dǎo)出。