AndroidのSHA256署名algorythm

Question

私の質問は多少この1のフォローアップされたSHA1のalgorythmを持つ：私はapksignerでAPKをsignignし、上記の記事にreccomandationsを以下のよCan I specify digest algorithm apksigner uses?

、私は18にminSDKを引き上げ+。期待されるように、生成されたMANIFEST.MFおよびANDROID.SFダイジェストは、SHA-1ダイジェストハッシュの代わりにパッケージ内のファイルのSHA-256ダイジェストハッシュを報告します。

アンドロイド-minSDK18.SF抜粋

アンドロイドminSDK16.SF抜粋

しかしkeytool -printcert -file "ANDROID - minSDK18.RSA"又はkeytool -printcert -file "ANDROID - minSDK16.RSA"有する.RSA証明書を印刷はSHA1withRSA署名をspecifing同じ結果を与えますalgorythm。 SHA1withRSAは、証明書に埋め込まれた署名algorythmがあるので、おそらくです

：

私の質問は、APKに署名するために使用certifiicateの署名algorythmはSHAに関連する影響を与えているかどうかを知ることです

APKがSHA-256 algorythmで署名されていても、-1の衝突の問題が発生します。

Answer 1

いいえ、証明書発行者が証明書に署名するために使用するアルゴリズムであるアプリ署名証明書内の署名アルゴリズムは、Androidアプリのセキュリティに影響を与えません。その理由は、Androidがアプリ署名証明書内でこの暗号署名を検証しないためです。

1. それが解析し、
2. それはその公開鍵がデジタル署名のために使用することができることを宣言し、
3. （：アプリの署名証明書にAndroidのに重要な多くの背景については

   、すべてがそのです既にインストールされているアプリを更新する場合のみ）、現在インストールされているバージョンのアプリのアプリ署名証明書と同じです。