개요
Android 13은 기존 APK 서명 체계 v3을 개선한 APK 서명 체계 v3.1을 지원합니다. v3.1 체계는 순환과 관련된 APK 서명 체계 v3의 알려진 문제 중 일부를 해결합니다. 특히 v3.1 서명 체계는 SDK 버전 타겟팅을 지원하므로, 순환에서 플랫폼의 최신 버전을 타겟팅할 수 있습니다.
v3.1 서명 체계는 Android 12 이하에서 인식되지 않는 블록 ID를 사용합니다. 따라서 플랫폼은 다음과 같은 signer 동작을 적용합니다.
- Android 13 이상을 실행하는 기기는 v3.1 블록의 순환된 signer를 사용합니다.
- 이전 버전의 Android를 실행하는 기기는 순환된 signer를 무시하고 v3 블록의 원래 signer를 사용합니다.
아직 서명 키를 순환하지 않은 앱에는 추가 작업이 필요하지 않습니다. 이러한 앱이 순환할 때마다 시스템은 기본적으로 v3.1 서명 체계를 적용합니다.
v3.1 서명 블록
v3.1 서명 블록은 v3 서명 블록과 콘텐츠가 동일하지만 새 블록 ID를 사용하면 이러한 서명이 Android 13 이상을 실행하는 기기에서만 인식됩니다. 이렇게 하면 앱이 다중 타겟 APK에 관해 걱정할 필요 없이 서명 키를 안전하게 순환할 수 있습니다. 원래 signer를 v3 서명 블록의 APK에 서명하는 데 사용하고 v3.1 서명 블록에는 순환된 signer를 사용할 수 있기 때문입니다. 또한 v3.1 서명을 인증할 때 플랫폼에서 v3 서명 블록의 모든 기존 인증 코드를 재사용할 수 있습니다.
기본적으로 apksig 라이브러리는 순환된 키와 계보가 서명 구성에 제공될 때마다 v3.1 서명 블록을 사용합니다. 앱의 minSdkVersion이 Android 13보다 낮고 순환된 키를 사용 중인 경우 v3 서명 블록의 APK에 서명하는 데 사용할 수 있도록 원래 서명 키도 지정해야 합니다. 이는 APK가 Android 9 미만 버전을 타겟팅하는 경우 원래 signer가 필요한 현재 동작과 유사합니다.
특정 SDK 버전부터 키 순환 타겟팅을 지원하기 위해 apksig 라이브러리는 순환을 위한 최소 SDK 버전을 설정할 수 있는 새 API를 노출합니다. Android 13 미만의 SDK 버전이 순환 지원의 최소 버전으로 지정되어 있으면 원래 v3 블록이 사용됩니다. v3.1 서명 블록은 순환을 위한 최소 SDK 버전이 Android 13 이상으로 설정된 순환이 있는 경우에만 사용됩니다. v3 서명 블록에는 순환 최소 SDK 버전 제거 보호를 위한 새로운 속성이 있습니다.
| APK에 계보가 포함됨 | rotation-min-sdk-version 값 | v3 서명 블록 | v3.1 서명 블록 |
|---|---|---|---|
| 아니요 | 기본값 또는 임의의 값(아래 x로 표시) | 원래 signer로 서명되었으며 Android 9 이상을 타겟팅 | 없음 |
| 예 | 기본값 | 원래 signer로 서명되었으며 Android 9~12L을 타겟팅 | 순환된 signer로 서명되었으며 Android 13 이상을 타겟팅 |
| 예 | x < 33(Android 13) | 순환된 signer로 서명되었으며 Android 9 이상을 타겟팅 | 없음 |
| 예 | x >= 33(Android 13) | 원래 signer로 서명되었으며 Android 9~(x-1)을 타겟팅 | 순환된 signer로 서명되었으며 x+를 타겟팅 |
순환 관련 문제
다음과 같은 순환 관련 문제가 플랫폼에서 해결되었습니다.
Android 12 수정사항
- 플랫폼은 앱의 현재 signer가 다른 앱의 서명 계보에 있거나 현재 signer인 경우에만 요청하는 앱에 서명 권한을 부여합니다. 이렇게 하면 두 앱이 서명 키 권장사항을 따르고 다른 서명 키로 순환하는 경우 요청하는 앱에 서명 권한을 부여하는 것을 방지할 수 있습니다.
- 플랫폼의 APK 롤백 기능은 서명 계보의 이전 키에 롤백 기능이 없는 경우 서명 키만 순환한 APK를 롤백할 수 없습니다. 하지만 이 기능은 새 패키지 업데이트가 이전 서명 키로 서명되고, 순환된 키로 롤백할 수 있으므로 순환의 목적을 무효화합니다.
- 순환된 키로만 서명되고 나중에 계보의 원래 키와 순환된 키로 서명된 APK로 업데이트된 APK는 Android 11 이하를 실행하는 기기의 계보에 순환된 키만 표시합니다.
Android 11 수정사항
- 두 패키지의 원래 서명 키를 확인하도록
PackageManager#checkSignatures가 제대로 업데이트되지 않았습니다. 이로 인해 원래 서명 키를 사용하는 계측 APK와 함께 순환된 서명 키를 사용하는 앱의 계측이 중단되었습니다. sharedUserId아래의 패키지는 서명 계보를 공유합니다. 업데이트된 서명 계보가 있는 앱이sharedUiserId에서 설치되거나 업데이트될 때마다 앱의 계보가sharedUserId의 공유 계보를 대체했습니다. 즉, 앱의 서명 계보가 A -> B이고sharedUserId에서 계보 B -> C로 앱이 업데이트되는 경우sharedUserId계보는 B -> C로 대체됩니다. 마찬가지로 계보에 있는 이전 signer의 기능은 서명 계보가 변경되지 않는 한 업데이트할 수 없습니다.
v4 통합
v4 서명 체계는 apksigner에 제공된 서명 구성을 사용합니다. 순환을 위해 여러 서명 구성이 제공된 경우 마지막으로 순환된 서명 구성이 사용됩니다. v3.1 도입 전에 v3에는 마지막으로 순환된 이 서명 구성만 포함되었으므로 v4는 이 구성을 그대로 사용할 수 있었습니다. 이를 통해 v4 서명 체계는 순환을 지원할 수 있었습니다. SigningInfo에서 순환된 서명 키를 사용했기 때문입니다. v4 SigningInfo에는 전체 서명 계보가 포함되지 않지만 v3 서명 블록에서 이 정보를 가져와 플랫폼이 모든 서명 쿼리의 계보에 액세스하도록 허용할 수 있습니다. v3.1이 제공된 rotation-min-sdk-version의 순환을 타겟팅하는 데 사용되는 경우 일반 v3 구성에는 원래 서명 구성과 마지막으로 순환된 서명 구성이 모두 포함됩니다. v4 서명 체계의 확장 프로그램이 만들어졌으며 v3.1 블록의 각 서명 구성에 관한 추가 서명 정보 블록을 포함합니다.
유효성 검사
v3.1 구현을 테스트하려면 cts/hostsidetests/appsecurity/src/android/appsecurity/cts/에서 PkgInstallSignatureVerificationTest.java CTS 테스트를 실행하세요.
테스트에 관한 자세한 내용은 v3의 확인 섹션을 참고하세요.