Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
今更聞けない_Playアプリ署名.pdf
Search
cOnigashima
February 24, 2022
Programming
0
650
今更聞けない_Playアプリ署名.pdf
cOnigashima
February 24, 2022
Tweet
Share
More Decks by cOnigashima
See All by cOnigashima
JetPackComposeは宣言型プログラミングパラダイムって実はよくわかってないんですが、別に使ってもいいんですよね、
conigashima
0
860
Androidエンジニア少ない!どうしたらいい!
conigashima
0
840
Other Decks in Programming
See All in Programming
どうして僕の作ったクラスが手続き型と言われなきゃいけないんですか
akikogoto
1
120
A Journey of Contribution and Collaboration in Open Source
ivargrimstad
0
950
Make Impossible States Impossibleを 意識してReactのPropsを設計しよう
ikumatadokoro
0
180
Arm移行タイムアタック
qnighy
0
330
みんなでプロポーザルを書いてみた
yuriko1211
0
260
Snowflake x dbtで作るセキュアでアジャイルなデータ基盤
tsoshiro
2
520
C++でシェーダを書く
fadis
6
4.1k
Pinia Colada が実現するスマートな非同期処理
naokihaba
4
230
광고 소재 심사 과정에 AI를 도입하여 광고 서비스 생산성 향상시키기
kakao
PRO
0
170
AI時代におけるSRE、 あるいはエンジニアの生存戦略
pyama86
6
1.2k
Figma Dev Modeで変わる!Flutterの開発体験
watanave
0
140
Less waste, more joy, and a lot more green: How Quarkus makes Java better
hollycummins
0
100
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
43
13k
We Have a Design System, Now What?
morganepeng
50
7.2k
Visualization
eitanlees
145
15k
Thoughts on Productivity
jonyablonski
67
4.3k
Writing Fast Ruby
sferik
627
61k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Docker and Python
trallard
40
3.1k
Optimising Largest Contentful Paint
csswizardry
33
2.9k
Transcript
今更聞けない Playアプリ署名
自己紹介 • 大西泰司 • FiNC Technologies株式会社 • Androidエンジニア 4年目
背景 • 「Andoridのアプリ署名教えて」 • 僕「はい!!!(よくわかってない)」
背景 • 「Andoridのアプリ署名教えて」 • 僕「はい!!!(よくわかってない)」 普段のリリースでほとんど意識したことない!!!! (公開はさすがにもっと緊張しますが)
背景 公式ドキュメント読んでも一回ではピンとこない > Play アプリ署名を使用すると、Google によって署名鍵が安全に管理され、アプリが正しく署名されていることが保 証されます。またAPK 配信時の署名を Google に委託することができます。
https://developer.android.com/studio/publish/app-signing?hl=ja#sign_release
目次 • 背景 • 署名とは • デジタル署名とは • Playアプリ署名とは ◦
アプリ署名とは ◦ アップロード鍵とか
署名とは 「アプリケーションが勝手に変更されていない」ことを証明するための仕組み 完全性(Integrity)を担保する
デジタル署名とは 公開鍵・秘密鍵を用いて暗号化し送受信するため、偽造・変造のおそれがほとんどなく、 セキュリティ性が高い暗号化技術 引用 : https://www.ipa.go.jp/security/pki/
電子署名が悪用され同一署名者になりすまされると・・・ • アプリのアップグレード ◦ アプリのアップグレードによる上書き • アプリのモジュール性実現 ◦ 同一モジュールの悪用 •
コードとデータの共有 ◦ パーミッション悪用 引用 : https://www.jnsa.org/seminar/pki-day/2018/data/180417_pm1_kanaoka.pdf
Playアプリ署名
Playアプリ署名とは > Play アプリ署名を使用すると、Google によって署名鍵が安全に管理され、アプリが正しく署名さ れていることが保証されます。また APK 配信時の署名を Google に委託することができます。
引用 https://developer.android.com/studio/publish/app-signing?hl=ja
アプリ署名とは > アプリ署名鍵 : ユーザーのデバイスにインストールされる APK の署名に使用する鍵。 Android の安全な更新モデルの一部である署名鍵は、アプリの全期間にわたって変更 されることがありません。
2021以前に公開済みのアプリはオプトインすることで委託できる、秘密鍵的なもの
アップロード鍵とは Google Play アプリ署名用にアップロードする前に、App Bundle または APK への署名 に使用する鍵。公開鍵的なもの
Playアプリ署名を使わないことも可能 2021以前に公開済みのアプリは、署名鍵とアップロード鍵を同一にできる >Play アプリ署名へのオプトインを選択しない場合は、2021 年 8 月より前に作成されたアプリについてのみ、自分専用のアプリ署 名鍵とキーストアを管理できます。 ただし、鍵とキーストアの保護は自分の責任で行う必要があります。また、Android App
Bundle、 Play Feature Delivery、Play Asset Delivery をサポートできなくなります。
まとめ • Googleさんはやってくれてるんやなぁ • Google Play Store以外だとどういう運用なんだろうか ◦ HUAWEI AppGalleryとか
conigashima
akikogoto
ivargrimstad
ikumatadokoro
qnighy
.png){kind=avatar}
yuriko1211
tsoshiro
fadis
naokihaba
kakao
pyama86
watanave
hollycummins
quramy
morganepeng
eitanlees
jonyablonski
sferik
maggiecrowley
lynnandtonic
philnash
eileencodes
trallard
csswizardry
