Replying to Avatar lunaticoin

I see devs sign their apps in 2 way:

- they sign a hash of the apk, zip etc

- or thr sign directly de apk, zip etc

What is the difference? Why choosing doing an extra step and hashing it first?
00
Fritz Zorn 2y ago

Si solo firmas apk o zip la verificación necesita saber manejar gnupg. El hash sería más user friendly, entiendo. Y se firma el hash para mayor garantía. Eso se me ocurre.

Reply to this note

Please Login to reply.

Discussion

Avatar
₿italion 2y ago

Exacto el SO operativo anfitrión dónde será instalado el APK deberá tener el mecanismo de reconocer esa firma como válida y permitir la instalación, o en su lugar informar que contiene o no una firma inválida. En el caso del hash como lo has dicho sería para validar la autenticidad de lo descargado y que es bit a bit igual al origen

Avatar
lunaticoin 2y ago

Pero solo tendrías seguridad de que es el mismo archivo que fue hasheado, pero no que lo creó el dev que pensabas, cierto?

Avatar
vivab0rg 2y ago

Esta debería ser la respuesta correcta. /mod cierre el thread! ;)