Upgrade to Pro — share decks privately, control downloads, hide ads and more …

今更聞けない_Playアプリ署名.pdf

cOnigashima
February 24, 2022
Programming
0
400

 今更聞けない_Playアプリ署名.pdf

cOnigashima

February 24, 2022
Tweet

More Decks by cOnigashima

See All by cOnigashima
JetPackComposeは宣言型プログラミングパラダイムって実はよくわかってないんですが、別に使ってもいいんですよね、
conigashima
0
390
Androidエンジニア少ない!どうしたらいい!
conigashima
0
550

Other Decks in Programming

See All in Programming
新しいことに挑戦したい組織が考えるべきこと
headwaters
0
150
Kotlinにおける型の世界と エラーハンドリング / Type World and Error Handling in Kotlin
makomakok
0
220
CSC309 Lecture 19
javiergs
PRO
0
130
Automated testing in Ruby 101
okuramasafumi
1
440
RISC-V 命令 / ISA 拡張ピックアップ ― 最近追加されたもの、これから追加されるもの、議論が進みつつあるもの
a4lg
0
100
分岐を低減するinterface設計と発想の転換 / interface_design_idea.pdf
minodriven
11
3.2k
デプロイ今昔物語 〜CGIからサーバーレスまで〜 / The deployment technics
mackee
9
3.7k
What Ever Happened to Baby Rails App?
eatplaynap
1
550
WantedlyでのCompose導入 / Introducing Jetpack Compose at Wantedly
kubode
1
110
年間版1秒動画2023 大量配信の裏側 - MIXI TECH CONFERENCE 2023 DAY1
haman29
2
730
改めて整理するWebアプリのビルド・デプロイの基本
os1ma
4
560
Cloudflare の画像最適化機能を紹介してみる
maroon1st
0
540

Featured

See All Featured
Fireside Chat
paigeccino
16
2k
Automating Front-end Workflow
addyosmani
1351
200k
Bootstrapping a Software Product
garrettdimon
299
110k
Navigating Team Friction
lara
177
12k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
14
1.2k
Why Our Code Smells
bkeepers
PRO
326
55k
Git: the NoSQL Database
bkeepers
PRO
419
60k
Design by the Numbers
sachag
271
18k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
1.3k
Creatively Recalculating Your Daily Design Routine
revolveconf
207
11k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
500
130k
Visualization
eitanlees
129
12k

Transcript

  1. 今更聞けない
    Playアプリ署名

    View Slide

  2. 自己紹介
    ● 大西泰司
    ● FiNC Technologies株式会社 
    ● Androidエンジニア 4年目

    View Slide

  3. 背景
    ● 「Andoridのアプリ署名教えて」
    ● 僕「はい!!!(よくわかってない)」

    View Slide

  4. 背景
    ● 「Andoridのアプリ署名教えて」
    ● 僕「はい!!!(よくわかってない)」
    普段のリリースでほとんど意識したことない!!!!
    (公開はさすがにもっと緊張しますが)

    View Slide

  5. 背景
    公式ドキュメント読んでも一回ではピンとこない
    > Play アプリ署名を使用すると、Google によって署名鍵が安全に管理され、アプリが正しく署名されていることが保
    証されます。またAPK 配信時の署名を Google に委託することができます。
    https://developer.android.com/studio/publish/app-signing?hl=ja#sign_release

    View Slide

  6. 目次
    ● 背景
    ● 署名とは
    ● デジタル署名とは
    ● Playアプリ署名とは
    ○ アプリ署名とは
    ○ アップロード鍵とか

    View Slide

  7. 署名とは
    「アプリケーションが勝手に変更されていない」ことを証明するための仕組み
    完全性(Integrity)を担保する

    View Slide

  8. デジタル署名とは
    公開鍵・秘密鍵を用いて暗号化し送受信するため、偽造・変造のおそれがほとんどなく、
    セキュリティ性が高い暗号化技術
    引用 : https://www.ipa.go.jp/security/pki/

    View Slide

  9. 電子署名が悪用され同一署名者になりすまされると・・・
    ● アプリのアップグレード
    ○ アプリのアップグレードによる上書き
    ● アプリのモジュール性実現
    ○ 同一モジュールの悪用
    ● コードとデータの共有
    ○ パーミッション悪用
    引用 : https://www.jnsa.org/seminar/pki-day/2018/data/180417_pm1_kanaoka.pdf

    View Slide

  10. Playアプリ署名

    View Slide

  11. Playアプリ署名とは
    > Play アプリ署名を使用すると、Google によって署名鍵が安全に管理され、アプリが正しく署名さ
    れていることが保証されます。また
    APK 配信時の署名を Google に委託することができます。
    引用 https://developer.android.com/studio/publish/app-signing?hl=ja

    View Slide

  12. アプリ署名とは
    > アプリ署名鍵 : ユーザーのデバイスにインストールされる APK の署名に使用する鍵。
    Android の安全な更新モデルの一部である署名鍵は、アプリの全期間にわたって変更
    されることがありません。
    2021以前に公開済みのアプリはオプトインすることで委託できる、秘密鍵的なもの

    View Slide

  13. アップロード鍵とは
    Google Play アプリ署名用にアップロードする前に、App Bundle または APK への署名
    に使用する鍵。公開鍵的なもの

    View Slide

  14. Playアプリ署名を使わないことも可能
    2021以前に公開済みのアプリは、署名鍵とアップロード鍵を同一にできる
    >Play アプリ署名へのオプトインを選択しない場合は、2021 年 8 月より前に作成されたアプリについてのみ、自分専用のアプリ署
    名鍵とキーストアを管理できます。 ただし、鍵とキーストアの保護は自分の責任で行う必要があります。また、Android App Bundle、
    Play Feature Delivery、Play Asset Delivery をサポートできなくなります。

    View Slide

  15. まとめ
    ● Googleさんはやってくれてるんやなぁ
    ● Google Play Store以外だとどういう運用なんだろうか
    ○ HUAWEI AppGalleryとか

    View Slide