Можете объяснить как работает проверка подписи apk?

Question

[Geoler]

Я не совсем понимаю, как работает проверка апк приложения на его подлинность, так что волнующий меня вопрос, если после подписи приложения в нем создается файл с контрольными суммами файлов, по которым потом идет проверка в том числе, то что мешает в подлинном апк подменить картинку, а потом во все места, где требуется внести изменения, соответствующие данной картинке, в итоге получив модифицированный рабочий апк без измененной подписи?

Answer 1

[sim3x]

А когда придет время устанавливать / заливать в гуглплей
Установщик сделает проверку пакета и сравнит с указанной в файлах подписью
И скажет, что апк изменен

Comments

[Geoler]

контрольные суммы это подпись??я немного не понимаю, если Вы не против, не могли бы Вы ответить на мой предыдущий вопрос, если знаете ответ

[sim3x]

Geoler,
Нет, контрольная сумма и подпись - разные вещи

https://ru.wikipedia.org/wiki/Электронная_подпись#...

В случае апк, у автора есть два ключа, закрытый и открытый

С апк берется хеш, автор подписывает его своим закрытым ключем
Установщик, берет открытый ключ автора, получает хеш и сравнивает его с тем, что он сам взял с апк

Если они совпадают, то значит никто не вмешивался в апк, после того как автор подписал его

[sim3x]

Geoler, про детали процесса - не подскажу