studio play paquete nombre name google example cambiar application aplicacion java android apk code-signing jar-signing

java - name - nombre del paquete de google play



¿Cómo firmar un paquete de aplicación(APK) utilizando OpenPGP(Yubikey)? (1)

Quiero firmar archivos APK con una clave OpenPGP almacenada en el applet OpenPGP de mi Yubikey .

Soy consciente de que hay una solución para la firma de APK utilizando el applet PIV de Yubikey . Sin embargo, el applet PIV solo puede manejar claves RSA de hasta 2048 bits de longitud de clave.

Las Pautas Técnicas de Mecanismos Criptográficos BSI TR-02102-1 (versión en inglés traducido) establecen que a partir del año 2023 (o para el uso en 2023 y posteriores), solo se permiten claves RSA con una longitud de clave mayor o igual a 3000 bits. La primera longitud de clave estándar disponible sería 3072 bits. Tengo que ser compatible con el BSI TR-02102 .

Esto se resume en el requisito, que tengo que usar 3072 bits para la longitud de la clave y RSA como algoritmo, y no puedo usar el enfoque de canto PIV APK.

¿Hay alguna forma de usar el applet OpenPGP de Yubikey 4 para firmar archivos APK mediante el procedimiento estándar o mediante un procedimiento personalizado?

Nota : La clave privada se genera en Yubikey y no es exportable. Esto se debe al diseño del Yubikey y a mis requisitos mínimos de seguridad. Así que la exportación y la conversación no es una solución posible.

¿Utiliza un token USB o una tarjeta inteligente que admita RSA 3072 4096 para la verificación de identidad personal? Ni siquiera el Yubikey 5 admite eso para PIV / FIPS 201-2 (que es una emulación de tarjeta inteligente). He buscado por un tiempo, pero parece que casi no hay ningún hardware que lo soporte todavía (en caso de que sea aplicable); Las alternativas que pude encontrar fueron RSA SecurID , Nitrokey Pro 2 y Gemalto IDBridge K50 .

Con APK firmando v2 o v3 , la fuerza de la clave de carga puede que ni siquiera importe mucho ... dice RSA 1024, RSA 2048, RSA 4096, RSA 8192, RSA 16384 están siendo soportados, pero no dice en ninguna parte qué fuerza la real Tendría que liberar la clave , que sería la parte bastante interesante de ella. El V3SchemeSigner sugiere el formato de codificación PKCS1 V1.5; pero la única forma de averiguarlo sería verificar la clave pública de un paquete desde Play Store ejecutando ssh-keygen -lf ./rsa_key.pub (que muestra la huella digital del archivo de clave pública, que también muestra la fuerza de la clave).

security.stackexchange.com podría proporcionar más pistas.