Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
今更聞けない_Playアプリ署名.pdf
Search
cOnigashima
February 24, 2022
Programming
0
660
今更聞けない_Playアプリ署名.pdf
cOnigashima
February 24, 2022
Tweet
Share
More Decks by cOnigashima
See All by cOnigashima
JetPackComposeは宣言型プログラミングパラダイムって実はよくわかってないんですが、別に使ってもいいんですよね、
conigashima
0
910
Androidエンジニア少ない!どうしたらいい!
conigashima
0
890
Other Decks in Programming
See All in Programming
生成AIでGitHubソースコード取得して仕様書を作成
shukob
0
630
技術的負債と向き合うカイゼン活動を1年続けて分かった "持続可能" なプロダクト開発
yuichiro_serita
0
300
Fixstars高速化コンテスト2024準優勝解法
eijirou
0
190
ゼロからの、レトロゲームエンジンの作り方
tokujiros
3
1.1k
歴史と現在から考えるスケーラブルなソフトウェア開発のプラクティス
i10416
0
300
traP の部内 ISUCON とそれを支えるポータル / PISCON Portal
ikura_hamu
0
180
선언형 UI에서의 상태관리
l2hyunwoo
0
270
各クラウドサービスにおける.NETの対応と見解
ymd65536
0
250
2025.01.17_Sansan × DMM.swift
riofujimon
2
560
PicoRubyと暮らす、シェアハウスハック
ryosk7
0
220
AppRouterを用いた大規模サービス開発におけるディレクトリ構成の変遷と問題点
eiganken
1
450
Внедряем бюджетирование, или Как сделать хорошо?
lamodatech
0
940
Featured
See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
19
2.3k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
960
GitHub's CSS Performance
jonrohan
1030
460k
The Language of Interfaces
destraynor
155
24k
Statistics for Hackers
jakevdp
797
220k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
Measuring & Analyzing Core Web Vitals
bluesmoon
5
210
Fashionably flexible responsive web design (full day workshop)
malarkey
406
66k
Transcript
今更聞けない Playアプリ署名
自己紹介 • 大西泰司 • FiNC Technologies株式会社 • Androidエンジニア 4年目
背景 • 「Andoridのアプリ署名教えて」 • 僕「はい!!!(よくわかってない)」
背景 • 「Andoridのアプリ署名教えて」 • 僕「はい!!!(よくわかってない)」 普段のリリースでほとんど意識したことない!!!! (公開はさすがにもっと緊張しますが)
背景 公式ドキュメント読んでも一回ではピンとこない > Play アプリ署名を使用すると、Google によって署名鍵が安全に管理され、アプリが正しく署名されていることが保 証されます。またAPK 配信時の署名を Google に委託することができます。
https://developer.android.com/studio/publish/app-signing?hl=ja#sign_release
目次 • 背景 • 署名とは • デジタル署名とは • Playアプリ署名とは ◦
アプリ署名とは ◦ アップロード鍵とか
署名とは 「アプリケーションが勝手に変更されていない」ことを証明するための仕組み 完全性(Integrity)を担保する
デジタル署名とは 公開鍵・秘密鍵を用いて暗号化し送受信するため、偽造・変造のおそれがほとんどなく、 セキュリティ性が高い暗号化技術 引用 : https://www.ipa.go.jp/security/pki/
電子署名が悪用され同一署名者になりすまされると・・・ • アプリのアップグレード ◦ アプリのアップグレードによる上書き • アプリのモジュール性実現 ◦ 同一モジュールの悪用 •
コードとデータの共有 ◦ パーミッション悪用 引用 : https://www.jnsa.org/seminar/pki-day/2018/data/180417_pm1_kanaoka.pdf
Playアプリ署名
Playアプリ署名とは > Play アプリ署名を使用すると、Google によって署名鍵が安全に管理され、アプリが正しく署名さ れていることが保証されます。また APK 配信時の署名を Google に委託することができます。
引用 https://developer.android.com/studio/publish/app-signing?hl=ja
アプリ署名とは > アプリ署名鍵 : ユーザーのデバイスにインストールされる APK の署名に使用する鍵。 Android の安全な更新モデルの一部である署名鍵は、アプリの全期間にわたって変更 されることがありません。
2021以前に公開済みのアプリはオプトインすることで委託できる、秘密鍵的なもの
アップロード鍵とは Google Play アプリ署名用にアップロードする前に、App Bundle または APK への署名 に使用する鍵。公開鍵的なもの
Playアプリ署名を使わないことも可能 2021以前に公開済みのアプリは、署名鍵とアップロード鍵を同一にできる >Play アプリ署名へのオプトインを選択しない場合は、2021 年 8 月より前に作成されたアプリについてのみ、自分専用のアプリ署 名鍵とキーストアを管理できます。 ただし、鍵とキーストアの保護は自分の責任で行う必要があります。また、Android App
Bundle、 Play Feature Delivery、Play Asset Delivery をサポートできなくなります。
まとめ • Googleさんはやってくれてるんやなぁ • Google Play Store以外だとどういう運用なんだろうか ◦ HUAWEI AppGalleryとか
conigashima
shukob
yuichiro_serita
eijirou
tokujiros
i10416
ikura_hamu
l2hyunwoo
ymd65536
riofujimon
ryosk7
eiganken
lamodatech
lemiorhan
denniskardys
paulrobertlloyd
eileencodes
garrettdimon
jonrohan
destraynor
jakevdp
danielanewman
jnunemaker
bluesmoon
malarkey
