iOS应用签名

什么是iOS应用签名？

在iOS出来之前，主流的操作系统（MacOS/Windows）软件随便从哪里下载都能运行，系统安全存在隐患，盗版软件、病毒入侵、静默安装等等，苹果希望解决类似的问题，保证在iPhone iOS上的APP都是经过苹果官方允许的，怎样保证呢？就是通过代码签名。

iOS应用签名是针对苹果App的，因为苹果App的下载渠道有App Store，另外还有一个内测用的testflight，也就是说，除了这两个官方渠道，原则上，其它渠道的App是无法安装在苹果手机上的。那如何保证App是来源于这两个官方渠道呢？那就是对iOS应用进行签名。只有经过签名的应用程序才能保证他的来源是可信任的，并且代码是完整的、未被修改的。

怎样实现应用签名？

如果要实现应用签名，最简单的方式就是苹果官方生成一对RSA公私钥，在iOS系统中内置一个公钥，私钥由苹果后台保存，我们上传APP到App Store时苹果后台用私钥对APP数据进行加密，iPhone下载APP后用公钥验证这个签名就可以确认APP是否经过允许或被三方篡改过。但是，我们安装APP并不仅仅只有App Store这一个方式，比如真机调试、企业包等，所以只靠这个简单的数字签名方式是不够的。

实际上，苹果提供的是双层签名方式。

iOS签名原理

在了解iOS签名原理之前，先梳理一下需求

1. 为了保证系统的安全性，所有iPhone上安装的应用必须经过苹果授权
2. 当进行开发调试时，安装包不上传到AppStore也能被安装到iPhone中

iOS双层签名原理图.png

双层签名流程：

• 准备条件

  1. 在开发者电脑（Mac系统）中生成一对公私钥M（这一步Xcode就会做好）
  2. 苹果服务器生成一对公私钥A，其中苹果服务器保存着私钥，而iPhone设备保存着公钥。

• 生成本地密钥的证书文件

  1. 将Mac端本地密钥中的公钥M，以及一些开发者信息通过钥匙串生成证书请求文件CSR文件
  2. 苹果服务器使用私钥A对公钥M进行签名，即使用私钥A对公钥M进行RSA加密，将加密后的数据以及公钥M的Hash值一起打包生成证书文件。
  3. 苹果服务器将生成的证书文件下发到Mac端。

• 下载应用

  • 开发阶段
    1. 编译时，会使用本地私钥M对应用进行签名。
    2. 打包时，会将苹果生成的证书文件与应用一起打包。
    3. 应用安装时，iOS系统使用内置的公钥A去解密检验证书文件，验证通过表示这个证书是苹果颁发的，得到公钥M后，需要进行Hase校验，防篡改。公钥MHase校验通过后，使用公钥M验证App的签名。
  • 上架AppStore
    1. 苹果后台保存RSA私钥。当代码上架到AppStore时，使用RSA私钥对应用进行签名。
    2. iPhone保存RSA公钥。当iPhone下载应用时，系统使用RSA公钥对其进行验签，若验签通过，则说明应用程序已经被苹果授权，是可信任的。若验签不通过，则说明应用程序是未被授权的，是不可信任的。

  经过以上双层签名，就能保证应用的来源可靠了，但这又有一个问题，那就是，只申请一个证书，就可以安装应用到所有的iOS设备了？这也是不被苹果允许的，因此苹果增加了描述文件（Provisioning profile）的验证。

描述文件

iOS 的描述文件（profile）是一个设置文件，实质是一个XML文件，不是证书。

包含以下内容：

1. 证书（certificate）：用来签名这个App的代码的，保证App的安全性合法性
2. App ID：App程序的ID，用来唯一标识这个App
3. 可用设备（device）：可以加100个设备的UDID进去，也就是说允许这100个设备安装此App用来测试
4. 应用权限（entitlements）：App中申请的权限配置

可以通过终端指令查看描述文件内容，如：

security cms -Di 21590d62-ec32-4a2b-92f0-aba9ebd34b9b.mobileprovision

描述文件中还包含了所有 APP 的配置内容，有兴趣可以一一查看。

总结

1. 本地(Mac)端生成公私钥对M，苹果服务器生成公私钥对A，服务器保存私钥A，手机保存公钥A。
2. 本地将公钥M发送至苹果服务器，苹果服务器使用私钥A对其进行加密，得到公钥M证书，并和设备ID、权限信息等一起生成描述文件。
3. 当App编译完成之后，会使用本地私钥M对代码进行签名。
4. 安装ipa包（包含App、App签名和描述文件）至手机时，手机会使用公钥A验证描述文件中的公钥M是否有效，验证通过之后，使用公钥M验证代码签名。

应用重签名演示（codesign 篇）

应用重签名，就是把已经存在的ipa包，重新配置一套证书和描述文件，再签名生成一个新的ipa包，iOS应用签名是利用了CodeSign来完成的`。

签名：原始数据 -> Hash -> 原来证书加密
重签名：原始数据 -> Hash -> 新的证书加密

【步骤1】查看当前钥匙串中可用于签名的证书，若钥匙串中没有可用于签名的证书，则需要去开发者中心配置一下证书。若存在可用于签名的证书，则选取一个证书用于后续重签名。

查看钥匙串可用于签名证书的指令如下：

security find-identity -v -p codesigning

1) E576D87E72C7B5245480CEF917D5F50D6455A2CF “Apple Development: xxx(73Y9L3NRGS)”
1 valid identities found

【步骤2】配置描述文件
在Xcode中新建一个iOS的Demo应用，编译的时候选取接下来重签名需要使用的证书（“Apple Development: xxx(73Y9L3NRGS)”）对代码进行签名，整个过程，Xcode会帮我们生成包含证书信息的描述文件，并且在安装的时候会将该描述文件下载至手机中。这样，我们使用本地私钥对代码进行签名后，手机端能使用相应的公钥进行验签。

查看iOS Demo应用所使用的证书，可通过以下指令：

codesign -vv -d testDemo.app

Executable=/Users/macbookpro/Library/Developer/Xcode/DerivedData/testDemo-gdcsuioslwjhabgohatvejfomief/Build/Products/Debug-iphoneos/testDemo.app/testDemo
Identifier=com.testDemo
Format=app bundle with Mach-O thin (arm64)
CodeDirectory v=20400 size=884 flags=0x0(none) hashes=19+5 location=embedded
Signature size=4812
Authority=Apple Development: xxx (73Y9L3NRGS)
Authority=Apple Worldwide Developer Relations Certification Authority
Authority=Apple Root CA
Signed Time=Apr 26, 2021 at 14:05:22
Info.plist entries=28
TeamIdentifier=LPJ7CN33RE
Sealed Resources version=2 rules=10 files=9
Internal requirements count=1 size=176

【步骤3】准备重签名的应用，这里以WeChat 8.0.2为例：

• 下载砸完壳的应用，下载砸壳应用可使用pp助手工具。
• 将下载的微信ipa包进行解压。
• 查看当前App包的签名信息，查看签名App包签名信息的指令如下：

codesign -vv -d WeChat.app

Executable=~/Payload/WeChat.app/WeChat
Identifier=com.tencent.xin
Format=app bundle with Mach-O thin (arm64)
CodeDirectory v=20500 size=3385627 flags=0x0(none) hashes=52895+7 location=embedded
Signature size=4390
Authority=Apple iPhone OS Application Signing
Authority=Apple iPhone Certification Authority
Authority=Apple Root CA
Info.plist=not bound
TeamIdentifier=88L2Q4487U
Sealed Resources version=2 rules=25 files=2670
Internal requirements count=1 size=96

其中，Authority就是表示该应用的签名信息。

• 通过otool工具，查看Mach-O的加密情况，查看指令如下：

otool -l WeChat

在Mach-O中有一个cryptid关键字，表示Mach-O的加密情况。cryptid：0，表示下载的是砸过壳的Mach-O；cryptid：1，表示Mach-O是加密的。
若此时查看到的cryptid为1，则需要对安装包进行砸壳，只有砸壳了的应用才能继续重签名操作。

【步骤4】删除WeChat包中不能被重签名的项，例如插件(普通账号是无法对插件进行重签名的)。

cd WeChat.app
rm -rf PlugIns

//因为Watch里面也包含插件，并且我们暂时不需要用到Watch
rm -rf Watch

【步骤5】对安装包中Framework文件夹下面的framework进行重签名。注意，此处选取的证书文件为："Apple Development: xxx(73Y9L3NRGS)"

• 先看一下未重签名前，framework的签名信息

codesign -vv -d App.framework
Executable=~/Payload/WeChat.app/Frameworks/App.framework/App
Identifier=io.flutter.flutter.app
Format=bundle with Mach-O thin (arm64)
CodeDirectory v=20500 size=150754 flags=0x0(none) hashes=2351+5 location=embedded
Signature size=4390
Authority=Apple iPhone OS Application Signing
Authority=Apple iPhone Certification Authority
Authority=Apple Root CA
Info.plist entries=10
TeamIdentifier=88L2Q4487U
Sealed Resources version=2 rules=11 files=24
Internal requirements count=1 size=104

• 接下来使用"Apple Development: xxx(73Y9L3NRGS)"证书对framework进行重签名

cd Framework
codesign -fs "Apple Development: xxx(73Y9L3NRGS)" *.framework

• 查看重签名之后framework的签名信息，可以看到，App.framework已经变成是由我们的证书签名的。

codesign -vv -d App.framework
Executable=~/Payload/WeChat.app/Frameworks/App.framework/App
Identifier=io.flutter.flutter.app
Format=bundle with Mach-O thin (arm64)
CodeDirectory v=20400 size=75450 flags=0x0(none) hashes=2351+3 location=embedded
Signature size=4893
Authority=Apple Development: xxx (73Y9L3NRGS)
Authority=Apple Worldwide Developer Relations Certification Authority
Authority=Apple Root CA
Signed Time=Apr 26, 2021 at 14:06:10
Info.plist entries=10
TeamIdentifier=LPJ7CN33RE
Sealed Resources version=2 rules=10 files=28
Internal requirements count=1 size=184

【步骤6】查看WeChat包中Mach-O文件的权限，使其有可被执行的权限。

chmod +x WeChat

【步骤7】 由于手机不仅校验签名，还校验App ID、应用授权信息，因此，还需要对我们待签名包(WeChat)进行App ID、应用权限的修改。

• 找到WeChat.app中的info.plist，将其中的BundleID修改成与下载于手机中描述文件中的BundleID一致。

• 查看Demo包中的描述文件（embedded.mobileprovision），找到描述文件中的Entitlements字段，并将该字段内容拷贝至一个新的plist文件（Entitlements.plist）中。

• 对WeChat.app进行重签名，并指定其授权信息文件

codesign -fs "Apple Development: xxx (73Y9L3NRGS)" --no-strict --entitlements=Entitlements.plist WeChat.app

//重签名之后WeChat.app的签名信息如下：
codesign -vv -d WeChat.app
Executable=~/Payload/WeChat.app/WeChat
Identifier=com.hq.testDemo1
Format=app bundle with Mach-O thin (arm64)
CodeDirectory v=20400 size=1692916 flags=0x0(none) hashes=52895+5 location=embedded
Signature size=4812
Authority=Apple Development: xxx (73Y9L3NRGS)
Authority=Apple Worldwide Developer Relations Certification Authority
Authority=Apple Root CA
Signed Time=Apr 26, 2021 at 14:07:03
Info.plist entries=76
TeamIdentifier=LPJ7CN33RE
Sealed Resources version=2 rules=10 files=2401
Internal requirements count=1 size=176

【步骤8】以上就完成了重签名，接下就可以将重签名之后的App安装到手机中了。

总结

1. 对原App进行砸壳
2. 删除原App中的插件和带有插件的.app包（如Watch）
3. 对Framework进行重签名
4. 对可执行文件添加可执行权限
5. 新建Demo工程，并编译安装至手机，这里主要是为了将包含证书信息的描述文件下载到手机
6. 修改原App包中info.plist指令的Bundle ID
7. 使用codesign对原App包进行重签名，此时需要指令授权文件。
8. 将重签名之后的App包安装至手机中，替换Demo应用

应用重签名演示（Xcode篇）

使用codesing进行重签名的步骤可以通过Xcode进行简化。
使用Xcode进行完成重签名步骤如下：

1. 对原App进行砸壳
2. 删除原App中的插件和带有插件的.app包（如Watch）
3. 对Framework进行重签名
4. 对可执行文件添加可执行权限
5. 新建WeChat工程，并编译安装至手机，这里主要是为了将包含证书信息的描述文件下载到手机
6. 修改原App包中info.plist指令的Bundle ID
7. 将App包拷贝到Xcode工程目录中，剩下的交给Xcode

与codesign重签名对比

• 重签名的工作由Xcode完成
• 不需要指定授权文件
• 新建的工程名必须和待重签名包同名

应用重签名演示（Shell脚本）

【步骤1】创建WeChat Demo工程。并在其根目录下创建rsign.sh文件。
【步骤2】为rsign.sh文件增加可执行权限

chmod a+x rsign.sh

【步骤3】创建一个目录名为App，用于存入待重签名的包，并将微信8.0.2.ipa复制到App目录下

【步骤4】开始编辑rsign.sh文件

• 定义变量：

#{SRCROOT}：工程文件所在的目录
#临时目录，将ipa包解压到Temp目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹，提前在工程目录下新建一个APP文件夹，里面放ipa包
ASSETS_PATH="${SRCROOT}/APP"
#目标ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"

• 清空Temp文件夹

rm -rf "${SRCROOT}/Temp"
mkdir -p "${SRCROOT}/Temp"

• 解压ipa包到Temp目录

unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"

• 拿到解压的临时的App的路径

#补充一下“set -- ”的含义：
#set -- "$X"就是把X的值返回给$1, set -- $X就是把X作为一个表达式的值一一返回
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")

• 将解压出来的.app拷贝进入工程下

TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "app路径:$TARGET_APP_PATH"

#将Xcode编译生成的app替换成解压出来的.app
rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH"

• 删除Extension和WatchApp

#删除extension和WatchAPP.个人证书没法签名Extention
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"

• 更新info.plist文件CFBundleIdentifier

#更新info.plist文件 CFBundleIdentifier
#设置:"Set : KEY Value" "目标文件路径"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

• 给MachO文件增加执行权限

#获取MachO的名称
#plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist：将Info.plist转成xml1格式，这里没有指定输出具体到哪个文件，因此这里使用标准输出
#grep -A1 Exec：从Info.plist中筛选出"Exec"字符串所在行和以及它后面的一行
    ##上述指令的结果为：
    ##<key>CFBundleExecutable</key>
    ##<string>WeChat</string>
#tail -n1：输出尾部1行
    ##上述指令的结果为：
    ##<string>WeChat</string>
#cut -f2 -d\>：裁剪第二字段，以>为字段分隔符，因为>为特殊字符，因此需要加上\进行转义
    ##上述指令的结果为：
    ##WeChat</string>
#cut -f1 -d\<`：裁剪第一字段，以<字段为分隔符
    ##上述指令的结果为：
    ##WeChat

APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
#给MachO文件增加执行权限
chmod +x "$TARGET_APP_PATH/$APP_BINARY"

• 重签名 FrameWorks 和App

#重签名第三方 FrameWorks
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do
#签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

• 在Xcode中添加脚本，选择Build Phases，在Run Script中输入：./rsign.sh

• 真机运行项目，App安装成功。