Signer un zip: kesako ?

[hypo59]

Bonjour à toutes et à tous !

Je lance ce sujet car je suis un peu perdu sur la question:
- à quoi cela sert - il ?
- comment faire ? Avec quel(s) outils ?
- quel est le mécanisme de signature ?

Et également je souhaiterais développer un tuto comportant des outils à flasher via un recovery custom ou stock (ce qui demande à signer les outils zippés).

A vos plumes !!!

 

[Anonymous]

Bonjour,

Signer un zip c'est lui apposer (dans le champ commentaire) une signature numérique qui permet de valider :
- son contenu
- sa provenance

Seul le détenteur d'une clef (privée) peut signer un zip pour certifier qu'il vient de lui.
Il est possible de vérifier l’authenticité de cette signature sans détenir la clef.

Les recovery stock n’acceptent en général que les zips signés par la marque ou le fabricant du terminal (p.ex. Samsung)
L'outil le plus connu dans le monde Android pour signer un zip ou un apk (qui n'est rien d'autre qu'un zip) est : SignAPK (=> Google)
Bien évidemment, on ne peut pas signer un zip comme s'il l'était par Samsung sans détenir leur clef => nécessité d'utiliser un recovery custom pour installer des zips non signés.

Dès qu'on modifie un zip signé, il perd sa signature (elle n'est plus valable).

(si un puriste passe par là : oui, je sais, je schématise un peu... mais rien de faux, si ?)

 

[hypo59]

Merci Coredump !

Comment détenir/créer une clef permettant donc de signer un fichier ? Et je ne comprends pas bien pourquoi signer un fichier avec une clé qui ne peut finalement pas être celle par exemple de Samsung: j'ai du mal à voir l'intérêt: peux-tu expliquer ?

 

[Speedo4android]

Hello Coredump (ça va ?): parfait pour les recovery propriétaire je crois, @ hypo : signer est une condition pour qu'un recovery custom veuille bien exécuter le script d'installation, ceci dit ta propre signature n'est absolument pas obligatoire, maintenant il est super facile de signer avec "ZipSigner" (sur android) un zip créer sur PC ou mac ou Android ... Pour installer une ROM, juste une application en système, faire une modification de fichier , etc ... Donc utiliser une clef "générique". Pour une application, le développeur auras sa clef " perso" qui interdit de faire une modification (update) de l'application avec une autre signature, ce qui est quaduc en cas de désinstallations de la V1, et installation d'une V2 bidouillée, (autre signature) , à savoir que certains logiciels savent copier une signature... Ensuite les cas "particulier" : SystemUI, Framework.res n'ont pas besoin d'être signées pour fonctionner.

 

[hypo59]

Merci de tes infos Speedo4android !

signer est une condition pour qu'un recovery custom veuille bien exécuter le script d'installation

Pour installer une ROM, juste une application en système, faire une modification de fichier , etc ... Donc utiliser une clef "générique"

??? La plupart des ZIP (pour ne pas dire tous) que je flashe via TWRP (ou autre recovery custom) ne sont pas signés, et cela fonctionne parfaitement: qu'as-tu voulu dire ?

maintenant il est super facile de signer avec "ZipSigner" (sur android) un zip créer sur PC ou mac ou Android

J'ai téléchargé ZipSigner sur le PlayStore, pour tester: je ne comprends pas pourquoi il me propose plusieurs type de signature. Saurais-tu expliquer, sachant que je suis plus intéressé pour des ZIP à flasher que des APK ?

 

[Anonymous]

Les CWM, TWRP etc. acceptent les zips NON signés (contrairement au recovery stock que Speedo a appelé "propriétaire") qui lui n'accepte que les zips signés par une clef reconnue (en général : celle de la marque).

Je ne connais pas ZipSigner donc je ne peux pas t'aider...

...et Salut Speedo !

 

[hypo59]

Ok merci !

Pour mon projet de tuto il est donc impossible de créer des ZIP signés à flasher via le recovery stock, c'est bien ça ?

 

[Anonymous]

Pour mon projet de tuto il est donc impossible de créer des ZIP signés à flasher via le recovery stock, c'est bien ça ?

C'est ce que je pensais jusqu'à hier. Mais là je suis en train de suivre un sujet sur XDA qui me laisse supposer que ce ne serait pas forcément le cas.
Peut-être que j'ai juste mal compris. J'attends ma réponse. Stay tuned.

Ceci dit j'ai déjà connu une exception, une tablette chinoise no-name que j'ai réussi à rooter en signant un zip avec la clef "de démo" du SDK Google. Mais je pense que c'était plus une exception, une erreur (ou la volonté) du fabricant de mettre cette clef dans la liste des clefs autorisées, voire d'accepter n'importe quelle clef du moment que c'est signé. Si tous les recoveries stock fonctionnaient comme cela, ça se saurait je pense !

 

[hypo59]

Peux tu poster le lien du topic xda ? En attendant j'oriente mes ZIP en non signés.

 

[Anonymous]

Si tu veux mais c'est un topic sur un tout autre sujet : un nouvel outil de root + appli Superuser en cours de développement.
Ma question est très annexe, en fait. Sais même pas si je vais avoir une réponse

S'il vous plaît, Connexion ou S'inscrire pour voir le contenu ou les urls !

 

[hypo59]

C'est noté, merci !

 

[Anonymous]

J'ai eu ma réponse : à moins de disposer d'une clef "leakée" du constructeur pour signer le zip ou à moins d'avoir un recovery très permissif qui accepte une des clefs de démo de Google, ce n'est pas possible de signer un zip pour qu'il soit accepté par le recovery stock.

 

[hypo59]

Merci d'avoir partagé la réponse xda.