SlideShare a Scribd company logo

What's CodeSign

Shin Yamamoto, profile picture
Shin Yamamoto

Slides on my talk at potatotips #51

Software
1 of 20
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
What'sCodeSigning potatotips#51,23May2018 ShinYamamoto SoftwareDeveloper,Freelance @scenee https://scenee.com
Today'sLearning ✔ CodeSigningとは何か?どう検証されているのか? ✔ ProvisioningProfileとは何か? ✔ なぜ、1年でProvisioningProfileの更新が必要なのか? ✔ Development/DistributionIdentityの違いは?
CodeSignとは?
CodeSignとは? 公開鍵方式暗号で、実行コードに電子署名(CodeSignature)を付与する こと 電子署名には,秘密鍵と公開鍵が必要 秘密鍵:署名する‑>Identity 公開鍵:検証する‑>Certificate Steps 1.開発者が、自身の秘密鍵(Identity)で、電子署名する 2.iOSは、その署名の正当性を公開鍵(Certificate)で検証する Why? 開発者自身が作成したアプリケーションであることを保証する ※ 他にもCodeRequirement等の機能があるが、ここでは電子署名にフォーカスする
CodeSignとは? ‑CodeSigningGuide,AboutCodeSigning
CodeSignとは?
署名はどこに?ApplicationBundle(*.app) Mach‑O(Executable): 各アーキテクチャの LC_CODE_SIGNATURE Loadcommanddata CMS(pkcs7‑signeddata)で、署名が埋め込まれている CDHash,Entitlementsなど様々なメタデータも付与されている ResourceFiles: _CodeSignature/CodeResourcesというPList内に各リソースファイ ルの署名を記載 ※ 署名データフォーマットはApple独自でありドキュメント化されていない。
Tips CodeSigning時に、実行コードやリソースは変更されない 再署名(Resign)できる
Isthisenough? CodeSignatureだけではアプリを起動できない✋
ProvisioningProfileとは?
ProvisioningProfileとは? iOSがアプリプロセスに実行権限等リソースを提供(Provisioning)するた めのプロファイル AppID デジタル証明書(公開鍵)リスト デバイスリスト(ProvisionedDevices) Entitlements
ProvisioningProfileとは? CMS(CryptographicMessageSyntax:RFC5652)形式のファイル Appleが署名済みIssued&signedby"AppleiPhoneOS ProvisioningProfileSigning" PKCS7‑SignedData(S/MIMEcompat) Entitlementsとは? iOSがアプリプロセスに割り当てる権限を指定(Apple署名で承認済 み) Hint:Certificatesを確認する security cms -D -i /path/to/mobileprovision > temp.plist /usr/libexec/PlistBuddy -c "Print :DeveloperCertificates:0" temp.plist | openssl x509 -inform der -text
App起動時に何が検証されるのか? Mach‑Oに埋め込まれた署名情報等と、Provisioning_Profileが照合がさ れる Point ProvisioningProfile は、Appleによって署 名されている=承認 されている
AppIDとCertificateには、関連性はない AppIDは、Entitlementsに関連する Certificateは、「だれが署名したのか」を確認するだけ
なぜ1年ごとの更新が必要なのか? Provisioning_Profileに含まれる証明書の期限が、1年だから 何度、ProvisioningProfileを発行しても.. 指定する証明書の期限にのみ依存 証明書が有効なら古いProvisioningProfileも有効 証明書をrevokeすると.. その証明書を保持するProvisioningProfileは全て無効になる その証明書に対応するIdentityで署名ができなくなる
Development/Distributionの違いは? :Entitlements:get-task-allow: true/false Xcodedebuggerが、アプリプロセスにattachできるどうか Developmentでは、Instrumentsによって解析が可能
TeamProvisioningProfileとは? メンバー全てのDevelopment証明書を含むProvisioning_Profile Xcodeで自動生成される Wildcard(*)or特定のAppID Teamメンバーに対応したデバイスを含む
秘密鍵の再作成は不要(ただし、面倒) Certificate(公開鍵)は、Identity(秘密鍵)から作成可能 期限切れIdentityから証明書のみを更新できる How‑to 1.Keychainからp12ファイルをExport 2.p12ファイルとそのパスワードを用いて、以下のコマンドを実行 openssl req -new -key <( openssl pkcs12 -in /path/to/Certificates.p12 -nocerts -nodes -passin pass:"<# password #>" ) > new.certSigningRequest 3. new.certSigningRequest をsubmit ※ publickeyがある場合、privatekeyを右クリック「RequestaCertificateFroma CertificateAuthorityFrom"..."」で作成可
Recap CodeSigningとは、アプリに電子署名すること 電子署名(CodeSignature)には,秘密鍵(Identity)と公開鍵 (Certificate)が必要 秘密鍵と公開鍵≡ IdentityとProvisioningProfile ProvisioningProfileは、Certificateを含み、Appleにより署名済み iOSは、ProvisioningProfileで、CodeSignatureを検証する
References CodeSigningGuide, https://developer.apple.com/library/content/documentation/Security/C onceptual/CodeSigningGuide/Introduction/Introduction.html CodeSigning,https://developer.apple.com/support/code‑signing/ TechnicalNoteTN2415:EntitlementsTroubleshooting, https://developer.apple.com/library/content/technotes/tn2415/_index. html TechnicalNoteTN2206:macOSCodeSigningInDepth, https://developer.apple.com/library/content/technotes/tn2206/_index. html

More Related Content

PDF
【de:code 2020】 React Native で Windows アプリ開発 ~React Native for Windows~
日本マイクロソフト株式会社
 
PDF
【de:code 2020】 あらゆるエンジニアを支援! VS Code Meetup の紹介とハンズオンで活躍するテクニック集
日本マイクロソフト株式会社
 
PDF
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
Ryo Ito
 
PDF
【de:code 2020】 『RE:BEL ROBOTICA レベルロボチカ』の世界と現代をミックス! MR で変わるライフスタイルとワークスタイル ...
日本マイクロソフト株式会社
 
PDF
【de:code 2020】 『RE:BEL ROBOTICA レベルロボチカ』の世界と現代をミックス! MR で変わるライフスタイルとワークスタイル ...
日本マイクロソフト株式会社
 
PDF
認証から見たリモート署名 ー利用認証と鍵認可ー
Naoto Miyachi
 
PDF
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
Naoto Miyachi
 
PDF
【de:code 2020】 GitHub 新機能のご紹介(2020 年 5 月発表)
日本マイクロソフト株式会社
 
【de:code 2020】 React Native で Windows アプリ開発 ~React Native for Windows~
日本マイクロソフト株式会社
 
【de:code 2020】 あらゆるエンジニアを支援! VS Code Meetup の紹介とハンズオンで活躍するテクニック集
日本マイクロソフト株式会社
 
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
Ryo Ito
 
【de:code 2020】 『RE:BEL ROBOTICA レベルロボチカ』の世界と現代をミックス! MR で変わるライフスタイルとワークスタイル ...
日本マイクロソフト株式会社
 
【de:code 2020】 『RE:BEL ROBOTICA レベルロボチカ』の世界と現代をミックス! MR で変わるライフスタイルとワークスタイル ...
日本マイクロソフト株式会社
 
認証から見たリモート署名 ー利用認証と鍵認可ー
Naoto Miyachi
 
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
Naoto Miyachi
 
【de:code 2020】 GitHub 新機能のご紹介(2020 年 5 月発表)
日本マイクロソフト株式会社
 

What's hot (20)

PDF
クラウドの観点から見たIoT開発の試行錯誤を減らそう
Jingun Jung
 
PDF
【de:code 2020】 ハンズオンで学ぶ AI ~ Bot Framework Composer + QnA Maker / Custom Visi...
日本マイクロソフト株式会社
 
PDF
.NET の今とミライ (.NET Conf 2018 Japan Keynote)
Akira Inoue
 
PDF
Advancement of FIDO Technology
FIDO Alliance
 
PDF
FIDOセキュリティ認定の概要と最新状況
FIDO Alliance
 
PDF
FIDO認証によるパスワードレスログイン実装入門
Yahoo!デベロッパーネットワーク
 
PPTX
Smart lock
Yoshinori Hayashi
 
PPTX
PHPCON fukuoka 2015 CodeIgniter update
Takako Miyagawa
 
PDF
OpenID TechNight - Ping Identity 製品紹介
Daisuke Fuke
 
PDF
GitHub Enterprise と内製開発の文化
IIJ
 
PPTX
Azure io t_central_iotedge
Yoshinori Hayashi
 
PDF
Kinectプログラミング Step by Step
Akira Hatsune
 
PPTX
CodeIgniterのライセンスについて
Takako Miyagawa
 
PDF
プログラミングLT 2019 Summer
Yusuke Mori
 
PDF
【de:code 2020】 「あつまれ フロントエンドエンジニア」 Azure Static Web Apps がやってきた
日本マイクロソフト株式会社
 
PDF
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
日本マイクロソフト株式会社
 
PDF
VSCode Remote Container & GitHub Codespacesで拓く次世代のJava開発体験
Hiroyuki Ohnaka
 
PDF
数々の実績:迅速なFIDO認証の展開をサポート
FIDO Alliance
 
PDF
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
FIDO Alliance
 
PDF
FIDO2によるパスワードレス認証が導く新しい認証の世界
Kazuhito Shibata
 
クラウドの観点から見たIoT開発の試行錯誤を減らそう
Jingun Jung
 
【de:code 2020】 ハンズオンで学ぶ AI ~ Bot Framework Composer + QnA Maker / Custom Visi...
日本マイクロソフト株式会社
 
.NET の今とミライ (.NET Conf 2018 Japan Keynote)
Akira Inoue
 
Advancement of FIDO Technology
FIDO Alliance
 
FIDOセキュリティ認定の概要と最新状況
FIDO Alliance
 
FIDO認証によるパスワードレスログイン実装入門
Yahoo!デベロッパーネットワーク
 
Smart lock
Yoshinori Hayashi
 
PHPCON fukuoka 2015 CodeIgniter update
Takako Miyagawa
 
OpenID TechNight - Ping Identity 製品紹介
Daisuke Fuke
 
GitHub Enterprise と内製開発の文化
IIJ
 
Azure io t_central_iotedge
Yoshinori Hayashi
 
Kinectプログラミング Step by Step
Akira Hatsune
 
CodeIgniterのライセンスについて
Takako Miyagawa
 
プログラミングLT 2019 Summer
Yusuke Mori
 
【de:code 2020】 「あつまれ フロントエンドエンジニア」 Azure Static Web Apps がやってきた
日本マイクロソフト株式会社
 
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
日本マイクロソフト株式会社
 
VSCode Remote Container & GitHub Codespacesで拓く次世代のJava開発体験
Hiroyuki Ohnaka
 
数々の実績:迅速なFIDO認証の展開をサポート
FIDO Alliance
 
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
FIDO Alliance
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
Kazuhito Shibata
 
Ad

Similar to What's CodeSign (20)

PDF
Lt40
GIG inc.
 
PPTX
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
Yahoo!デベロッパーネットワーク
 
PPTX
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Takashi Yahata
 
PDF
Idcon gomi-052715-pub
Hidehito Gomi
 
PDF
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
 
PDF
Hybrid appmeetssecurity kdl20171017-20
龍弘 岡
 
PDF
まだパスワードで認証してるの?Passkeysを使ってパスワードを駆逐してやる!
Daiki Mogmet Ito
 
PPTX
20170415 mttokyo handson
Six Apart
 
PDF
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Kengo Suzuki
 
PDF
FIDO2 ~ パスワードのいらない世界へ
FIDO Alliance
 
PPTX
Windows Phoneの 企業内活用方法、 社内向けアプリ開発と展開
Akira Onishi
 
PPTX
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
 
PDF
Yahoo! JAPANのOpenID Certified Mark取得について
Masaru Kurahayashi
 
KEY
お客様とコードの間
Moriyuki Hirata
 
PDF
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
 
PDF
テストコードを入り口としたリファクタリング (2025-01-17).pdf
柏原 風希
 
PPTX
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
Takashi Yahata
 
PPTX
Cognitoが大型アップデート! Managed Loginとパスワードレスログインを 実際に使ってみた@しむそくRadio Special Day1
tmhirai
 
PDF
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
 
PDF
Fido self issued
HiroshiUeno15
 
Lt40
GIG inc.
 
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
Yahoo!デベロッパーネットワーク
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Takashi Yahata
 
Idcon gomi-052715-pub
Hidehito Gomi
 
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
 
Hybrid appmeetssecurity kdl20171017-20
龍弘 岡
 
まだパスワードで認証してるの?Passkeysを使ってパスワードを駆逐してやる!
Daiki Mogmet Ito
 
20170415 mttokyo handson
Six Apart
 
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Kengo Suzuki
 
FIDO2 ~ パスワードのいらない世界へ
FIDO Alliance
 
Windows Phoneの 企業内活用方法、 社内向けアプリ開発と展開
Akira Onishi
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
 
Yahoo! JAPANのOpenID Certified Mark取得について
Masaru Kurahayashi
 
お客様とコードの間
Moriyuki Hirata
 
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
 
テストコードを入り口としたリファクタリング (2025-01-17).pdf
柏原 風希
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
Takashi Yahata
 
Cognitoが大型アップデート! Managed Loginとパスワードレスログインを 実際に使ってみた@しむそくRadio Special Day1
tmhirai
 
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
 
Fido self issued
HiroshiUeno15
 
Ad

What's CodeSign