我创建了一个应用程序,并对其进行签名,然后将其与比特码一起发送给苹果。
苹果重新分发给数百万人,他们可以验证我的代码签名。
现在苹果重新编译了我的应用程序并再次分发。
他们如何对应用程序进行签名,使其在数百万人的设备上运行?他们有权使用我的私钥吗?他们是否伪造了我的签名?
Felix Krause的话,"专业iOS代码签名问题解决者"和fastlane工具的创建者:
"你签署了你的应用程序,苹果也必须签署……你必须在本地机器上进行代码签名的事实实际上是无稽之谈,因为苹果基本上会在你的应用获得批准后辞职。"
对我们来说,这意味着苹果使用另一个密钥对来签署应用程序,即使他们不必从比特码重建它。所以这就是答案——他们无法访问用户的私钥,他们用自己的密钥退出应用程序。在从比特码重新编译应用程序的情况下,更简单的是:编译比特码,用app Store密钥对二进制进行签名。