Certificato e abuso di chiave

4

Ho fatto un errore diversi anni fa caricando la chiave del certificato OpenSSL (.pem e .pk8) in un post sul blog. La chiave è stata utilizzata per firmare apk Android utilizzando lo strumento SignApk.jar. Qualcuno l'ha preso e ha usato la chiave per firmare app di malware e la brutta storia era che ho messo il mio indirizzo email quando ho creato quel certificato. Ciò ha sollevato problemi perché le persone mi hanno accusato di essere il creatore di quelle app.

La domanda è: come posso recuperare questa situazione? alcune persone suggeriscono una revoca chiave, ma non la capisco del tutto. Per quanto riguarda la lettura da rete, la revoca deve essere caricata in una CA, che CA?

    
posta Lorensius W. L. T 17.01.2018 - 16:37
fonte

1 risposta

6

Certificati in generale

I certificati sono complicati, non ti biasimo. Di gran lunga, il caso di utilizzo più comune per i certificati è per i siti Web TLS in cui è necessario inviare una richiesta di firma del certificato (CSR) a una CA pubblicamente attendibile al fine di ottenere un certificato accettato dai browser. In tal caso revochi il certificato contattando la CA che lo ha originariamente emesso. Questo non si applica a te.

Certificati in Android / Google Play

La mia comprensione del modello di firma del codice per Android / Play Store è che generi una chiave privata di "firma app" utilizzando la procedura guidata in Android Studio. Questa chiave viene quindi utilizzata da Android Studio per firmare i tuoi file APK e per caricare la tua app sul Play Store, devi anche caricare la tua chiave pubblica e associarla al tuo account sviluppatore di giochi. Da qui ci sono due modelli: A) quella chiave è visibile pubblicamente un tuo account di sviluppatore di Play e i dispositivi degli utenti finali verificano che l'app sia stata firmata da quella chiave, o B) la chiave generata da Android Studio sia usata come " upload key "e Google genera una seconda" chiave di firma "nel tuo account cloud per ri-firmare il tuo APK con. L'opzione B è probabilmente più sicura poiché compromettere il tuo laptop non significa compromettere la chiave di firma (supponendo che i caricamenti dannosi sul Play Store possano essere ripristinati).

Neltuocasoqualcunaltrohaaccessoallatuachiaveprivata,inmodochepossanoscriverequalsiasisoftwaredesideratoepubblicarloconunafirmacrittograficacollegataailtuoaccountsviluppatoredigiochi(cattivenotizieperte).

Checosafare?

NonsembracheGoogleabbiaunmodelloper"revocare" le chiavi per la firma delle app, ma puoi rimuovere una chiave dal tuo account sviluppatore di giochi se contatti l'assistenza. Google ha un articolo di assistenza Gestisci le tue chiavi di firma dell'app e in fondo è :

Lost or compromised private keys

If you're enrolled in Google Play App Signing, you can reset your upload key if:

  • You lost your private key, or
  • Your private key has been compromised

Note: Resetting your upload key will not affect the app signing key that Google Play uses to re-sign APKs before delivering to users.

Reset your upload key

  • Step 1: Generate a new private key and upload certificate

  • Step 2: Contact our support team

Poiché devi comunque contattare il team di assistenza di Google come parte di questo processo, vorrei semplicemente contattarli subito per un consiglio.

    
risposta data 17.01.2018 - 17:03
fonte