Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
今更聞けない_Playアプリ署名.pdf
Search
cOnigashima
February 24, 2022
Programming
0
690
今更聞けない_Playアプリ署名.pdf
cOnigashima
February 24, 2022
Tweet
Share
More Decks by cOnigashima
See All by cOnigashima
技術ブログを執筆依頼するときに アウトプットによるメリット を考えたはなし
conigashima
0
18
JetPackComposeは宣言型プログラミングパラダイムって実はよくわかってないんですが、別に使ってもいいんですよね、
conigashima
0
1k
Androidエンジニア少ない!どうしたらいい!
conigashima
0
970
Other Decks in Programming
See All in Programming
DevTalks 25 - Create your own AI-infused Java apps with ease
kdubois
2
120
TVer iOSチームの共通認識の作り方 - Findy Job LT iOSアプリ開発の裏側 開発組織が向き合う課題とこれから
techtver
PRO
0
710
TypeScript を活かしてデザインシステム MCP を作る / #tskaigi_after_night
izumin5210
4
470
技術懸念に立ち向かい 法改正を穏便に乗り切った話
pop_cashew
0
750
抽象データ型について学んだ
ryounasso
0
210
Duke on CRaC with Jakarta EE
ivargrimstad
1
720
事業KPIを基に価値の解像度を上げる
nealle
0
200
【TSkaigi 2025】これは型破り?型安全? 真実はいつもひとつ!(じゃないかもしれない)TypeScript クイズ〜〜〜〜!!!!!
kimitashoichi
1
300
❄️ tmux-nixの実装を通して学ぶNixOSモジュール
momeemt
1
120
ソフトウェア品質特性、意識してますか?AIの真の力を引き出す活用事例 / ai-and-software-quality
minodriven
19
6.6k
AIエージェントによるテストフレームワーク Arbigent
takahirom
0
270
List Unfolding - 'unfold' as the Computational Dual of 'fold', and how 'unfold' relates to 'iterate'"
philipschwarz
PRO
0
130
Featured
See All Featured
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
The Power of CSS Pseudo Elements
geoffreycrofte
76
5.8k
Music & Morning Musume
bryan
47
6.5k
Visualization
eitanlees
146
16k
GraphQLの誤解/rethinking-graphql
sonatard
71
11k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
3k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
228
22k
Scaling GitHub
holman
459
140k
The World Runs on Bad Software
bkeepers
PRO
68
11k
Transcript
今更聞けない Playアプリ署名
自己紹介 • 大西泰司 • FiNC Technologies株式会社 • Androidエンジニア 4年目
背景 • 「Andoridのアプリ署名教えて」 • 僕「はい!!!(よくわかってない)」
背景 • 「Andoridのアプリ署名教えて」 • 僕「はい!!!(よくわかってない)」 普段のリリースでほとんど意識したことない!!!! (公開はさすがにもっと緊張しますが)
背景 公式ドキュメント読んでも一回ではピンとこない > Play アプリ署名を使用すると、Google によって署名鍵が安全に管理され、アプリが正しく署名されていることが保 証されます。またAPK 配信時の署名を Google に委託することができます。
https://developer.android.com/studio/publish/app-signing?hl=ja#sign_release
目次 • 背景 • 署名とは • デジタル署名とは • Playアプリ署名とは ◦
アプリ署名とは ◦ アップロード鍵とか
署名とは 「アプリケーションが勝手に変更されていない」ことを証明するための仕組み 完全性(Integrity)を担保する
デジタル署名とは 公開鍵・秘密鍵を用いて暗号化し送受信するため、偽造・変造のおそれがほとんどなく、 セキュリティ性が高い暗号化技術 引用 : https://www.ipa.go.jp/security/pki/
電子署名が悪用され同一署名者になりすまされると・・・ • アプリのアップグレード ◦ アプリのアップグレードによる上書き • アプリのモジュール性実現 ◦ 同一モジュールの悪用 •
コードとデータの共有 ◦ パーミッション悪用 引用 : https://www.jnsa.org/seminar/pki-day/2018/data/180417_pm1_kanaoka.pdf
Playアプリ署名
Playアプリ署名とは > Play アプリ署名を使用すると、Google によって署名鍵が安全に管理され、アプリが正しく署名さ れていることが保証されます。また APK 配信時の署名を Google に委託することができます。
引用 https://developer.android.com/studio/publish/app-signing?hl=ja
アプリ署名とは > アプリ署名鍵 : ユーザーのデバイスにインストールされる APK の署名に使用する鍵。 Android の安全な更新モデルの一部である署名鍵は、アプリの全期間にわたって変更 されることがありません。
2021以前に公開済みのアプリはオプトインすることで委託できる、秘密鍵的なもの
アップロード鍵とは Google Play アプリ署名用にアップロードする前に、App Bundle または APK への署名 に使用する鍵。公開鍵的なもの
Playアプリ署名を使わないことも可能 2021以前に公開済みのアプリは、署名鍵とアップロード鍵を同一にできる >Play アプリ署名へのオプトインを選択しない場合は、2021 年 8 月より前に作成されたアプリについてのみ、自分専用のアプリ署 名鍵とキーストアを管理できます。 ただし、鍵とキーストアの保護は自分の責任で行う必要があります。また、Android App
Bundle、 Play Feature Delivery、Play Asset Delivery をサポートできなくなります。
まとめ • Googleさんはやってくれてるんやなぁ • Google Play Store以外だとどういう運用なんだろうか ◦ HUAWEI AppGalleryとか