Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
今更聞けない_Playアプリ署名.pdf
cOnigashima
February 24, 2022
Programming
0
260
今更聞けない_Playアプリ署名.pdf
cOnigashima
February 24, 2022
Tweet
Share
More Decks by cOnigashima
See All by cOnigashima
JetPackComposeは宣言型プログラミングパラダイムって実はよくわかってないんですが、別に使ってもいいんですよね、
conigashima
0
190
Androidエンジニア少ない!どうしたらいい!
conigashima
0
370
Other Decks in Programming
See All in Programming
実践エクストリームプログラミング / Extreme Programming in Practice
enk
1
570
社用PCのdotfiles管理 / dotfiles-in-company
yammerjp
0
140
Angular‘s Future without NgModules: Architectures with Standalone Components @enterJS
manfredsteyer
PRO
0
250
エンジニアによる事業指標計測のススメ
doyaaaaaken
1
190
こそこそアジャイル導入しようぜ!
ichimichi
0
1.3k
Java アプリとAWS の良い関係 - AWS でJava アプリを実行する一番簡単な方法教えます / AWS for Javarista
kanamasa
2
1.3k
How we run a Realtime Puzzle Fighting Game on AWS Serverless
falken
0
250
VisualProgramming_GoogleHome_LINE
nearmugi
1
240
プロダクトのタイプ別 GraphQL クライアントの選び方
shozawa
0
5.7k
Terraform Plan/Apply結果の自動通知
ymmy02
0
280
Swift Regex
usamik26
0
200
【Scrum Fest Osaka 2022】スクラムチームに放り込まれた若手エンジニアの皆さん、どのように技術のキャッチアップをしていくかイメージはついていますか?
miiiki
0
120
Featured
See All Featured
How To Stay Up To Date on Web Technology
chriscoyier
780
250k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
269
11k
Building Better People: How to give real-time feedback that sticks.
wjessup
344
17k
Rebuilding a faster, lazier Slack
samanthasiow
62
7.2k
What’s in a name? Adding method to the madness
productmarketing
11
1.6k
Making Projects Easy
brettharned
98
4.3k
In The Pink: A Labor of Love
frogandcode
131
21k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
315
19k
A Modern Web Designer's Workflow
chriscoyier
689
180k
5 minutes of I Can Smell Your CMS
philhawksworth
196
18k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
5
510
For a Future-Friendly Web
brad_frost
166
7.4k
Transcript
今更聞けない Playアプリ署名
自己紹介 • 大西泰司 • FiNC Technologies株式会社 • Androidエンジニア 4年目
背景 • 「Andoridのアプリ署名教えて」 • 僕「はい!!!(よくわかってない)」
背景 • 「Andoridのアプリ署名教えて」 • 僕「はい!!!(よくわかってない)」 普段のリリースでほとんど意識したことない!!!! (公開はさすがにもっと緊張しますが)
背景 公式ドキュメント読んでも一回ではピンとこない > Play アプリ署名を使用すると、Google によって署名鍵が安全に管理され、アプリが正しく署名されていることが保 証されます。またAPK 配信時の署名を Google に委託することができます。
https://developer.android.com/studio/publish/app-signing?hl=ja#sign_release
目次 • 背景 • 署名とは • デジタル署名とは • Playアプリ署名とは ◦
アプリ署名とは ◦ アップロード鍵とか
署名とは 「アプリケーションが勝手に変更されていない」ことを証明するための仕組み 完全性(Integrity)を担保する
デジタル署名とは 公開鍵・秘密鍵を用いて暗号化し送受信するため、偽造・変造のおそれがほとんどなく、 セキュリティ性が高い暗号化技術 引用 : https://www.ipa.go.jp/security/pki/
電子署名が悪用され同一署名者になりすまされると・・・ • アプリのアップグレード ◦ アプリのアップグレードによる上書き • アプリのモジュール性実現 ◦ 同一モジュールの悪用 •
コードとデータの共有 ◦ パーミッション悪用 引用 : https://www.jnsa.org/seminar/pki-day/2018/data/180417_pm1_kanaoka.pdf
Playアプリ署名
Playアプリ署名とは > Play アプリ署名を使用すると、Google によって署名鍵が安全に管理され、アプリが正しく署名さ れていることが保証されます。また APK 配信時の署名を Google に委託することができます。
引用 https://developer.android.com/studio/publish/app-signing?hl=ja
アプリ署名とは > アプリ署名鍵 : ユーザーのデバイスにインストールされる APK の署名に使用する鍵。 Android の安全な更新モデルの一部である署名鍵は、アプリの全期間にわたって変更 されることがありません。
2021以前に公開済みのアプリはオプトインすることで委託できる、秘密鍵的なもの
アップロード鍵とは Google Play アプリ署名用にアップロードする前に、App Bundle または APK への署名 に使用する鍵。公開鍵的なもの
Playアプリ署名を使わないことも可能 2021以前に公開済みのアプリは、署名鍵とアップロード鍵を同一にできる >Play アプリ署名へのオプトインを選択しない場合は、2021 年 8 月より前に作成されたアプリについてのみ、自分専用のアプリ署 名鍵とキーストアを管理できます。 ただし、鍵とキーストアの保護は自分の責任で行う必要があります。また、Android App
Bundle、 Play Feature Delivery、Play Asset Delivery をサポートできなくなります。
まとめ • Googleさんはやってくれてるんやなぁ • Google Play Store以外だとどういう運用なんだろうか ◦ HUAWEI AppGalleryとか
conigashima
enk
yammerjp
manfredsteyer
doyaaaaaken
ichimichi
kanamasa
falken
nearmugi
shozawa
ymmy02
usamik26
miiiki
chriscoyier
stephaniewalter
wjessup
samanthasiow
productmarketing
brettharned
frogandcode
caitiem20
philhawksworth
marcduiker
brad_frost
