私の証明書を全員に知らせるのは大丈夫ですか？

Question

私の証明書を公開するように頼まれた人がいます。将来的に真正性を必要とするアプリケーションを開発した場合、APKが私から来ていることを確認できます。

1. これは本当ですか？証明書を使用してAPKを確認できますか？
2. 安全ですか？他の人が自分の証明書を使って別のAPKに署名できますか？

証明書は、この（私はこれを使用するので、それを精査して自由に感じることはありません）のようになります。

-----BEGIN CERTIFICATE----- 
MIIF+jCCA+KgAwIBAgIEV4XpqTANBgkqhkiG9w0BAQsFADCBvTEiMCAGCSqGSIb3 
DQEJARYTSU5WQUxJREBJTlZBTElELk5FVDELMAkGA1UEBhMCUEgxEDAOBgNVBAgM 
B0lOVkFMSUQxHTAbBgNVBAcMFFRISVMgQ0VSVCBJUyBJTlZBTElEMR0wGwYDVQQK 
DBRUSElTIENFUlQgSVMgSU5WQUxJRDEPMA0GA1UECwwGZXh5bmlzMSkwJwYDVQQD 
DCBwYW5kYWxpb245OCAoc2FtcGxlIGNlcnRpZmljYXRlKTAgFw0xNjA3MTMwNzEy 
MzRaGA8zMDE1MDcxMzA3MTIzNFowgb0xIjAgBgkqhkiG9w0BCQEWE0lOVkFMSURA 
SU5WQUxJRC5ORVQxCzAJBgNVBAYTAlBIMRAwDgYDVQQIDAdJTlZBTElEMR0wGwYD 
VQQHDBRUSElTIENFUlQgSVMgSU5WQUxJRDEdMBsGA1UECgwUVEhJUyBDRVJUIElT 
IElOVkFMSUQxDzANBgNVBAsMBmV4eW5pczEpMCcGA1UEAwwgcGFuZGFsaW9uOTgg 
KHNhbXBsZSBjZXJ0aWZpY2F0ZSkwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIK 
AoICAQDUY79bSf3rPiNj0dp2/orXrvLroXgT2JCHEpQd9mV4ms0Ee18Xhgcp6ruE 
2A8Cty60hF5lVEc+/UgUJzD4ViHnvMYzv4pl2Hqn1/bm4Fllb/uYpelx+Lz3jYKO 
vl4Izt/luL5zQo537YHENNxUxGeNYdi7mbLwG1P3hgF4QVDz1WJYGo/lGtdcbILX 
03bVmrQ8IltakC/V7th9dCp6KUcDEG+a3iIiOsAwp1tKSFsQsgmiXsNsPqhKhLgA 
ethel3i/1vzhNeYdCd859Q5ONzZNa/Fqpcp2MYU7oPSd7H88Q4r2XQqPHRjJOIhW 
XOAruG/MgLAAvhWn5PCHv/n6MTBalp3/YTx0H6rrjJq9VuH5QxLmb2Yy0PwPdiaL 
8fU/vA6xoIRilq6R7AEy0o1UxRp9yGz/KiiIPd3HVKOc4gSbKXSIZ6ChFTEiPI4j 
Pafh4SXPq2hJr70u3ZanXuu0LcFp0d1mOD31QZ4+QouPVjKPeJlYCVmPpasiuPno 
iIKl5aX3cSDPYi55pA9hxFdCWymlu5t4cq4iGHX4XzDHwxGbMrQYPi06gyEptKb1 
k7zrozN1dsR3/Yjr0EYKhJfFm8uu7N6etDUrX7lYYauzH3oWLArc0sUzMqAjL2wH 
muWmfuLcUGYnJ3Ch4n6jeEkTFKaz5Tg9udgzuAj883/EUvWY/QIDAQABMA0GCSqG 
SIb3DQEBCwUAA4ICAQBKPSUn+iUNPNhvscuFdEQe4Qw6WbWjo2JtIzmHjGVQQiSU 
hLYPrtTNDv5UDSl7SVz/6bayYG3tiZuAUjwdylB5t730s5Q2wu2VPsVbrDnEM4f4 
bNRoRe8etVa3gDhXeGH8AU1yjjeMEfq5U44OSKgltt5DZmSQOBqtsixZjSFOBG0w 
GA4pZM0UQfE6a0M+k7tLozrDIhnBWzDy9rD5oz/71HZeU8VDX3yZRLLc/S7AogQD 
ZTmdYsODbgZjvFNjhZ2bUbL2HdSbCSExw1TEHLiRAy/OJlSwCSVd1ee3nhaUeS7W 
pZNfgTLGrUmcLtl/xvI/cBkUyUVlq8OPXB2G4PEyDjoWN3tolsWY20MI3QrCMUbD 
CapLDWBincu31i9IKXttEuj6XdaqI/lUY9QPQzt+s578kpevvPmD7XNlxisOecV7 
jIJjIgsux41p7fLJfvovdgPsjlycsiCrHdi9/fbfOBpq2n1LH/p/oHuWW6HKJzlv 
33WtVq9DrJnQ8CGGjVoZN1cwgCIk/sgmR9X3JaF0u3Uk1ieSY4DXK67mKKZE6x2P 
BQIhR9WVKlHMtYJR/OcryhDLgBkHeOfYVTi3Gjw+nt58m7xomjEYUw+J9hjtucQw 
gmoHU4TYbcQyUFYk/1wSoUUt66/zX5oEEvCIPEL4yyxx2fjRFXLYLTRpzY77AQ== 
-----END CERTIFICATE----- 

Answer 1

あなたは彼らいくつかのクライアントを持っていない限り、あなたは、任意のキーを公開する必要はありません。このapkがあなたのものであることを確認する必要があります。その場合は、あなたにpublic keyを渡すだけです。注：秘密鍵を公開しないでください。あなたの秘密鍵を誰かがあなたのapkを編集して公開することができます。

公開鍵：

、デジタル証明書またはアイデンティティ証明書として知られている公開鍵証明書は、公開鍵/秘密鍵のペアの公開鍵、ならびに特定いくつかの他のメタデータを含みますキーの所有者（名前や場所など）。証明書の所有者は、対応する秘密鍵を保持します。

APKに署名すると、署名ツールは公開鍵証明書をAPKに添付します。公開鍵証明書は、APKをあなたとあなたの対応する秘密鍵に一意に関連付ける「指紋」として機能します。これにより、AndroidがAPKの今後のアップデートを本物のものにして元の作者からのものであることが保証されます。

プライベートキー：

キーストアは、一つ以上の秘密鍵が含まれているバイナリファイルです。 Android Studioを使用してリリース用のAPKに署名する場合は、新しいキーストアと秘密鍵を生成するか、既に保存しているキーストアと秘密鍵を使用することができます。キーストアには強力なパスワードを選択し、キーストアに格納されている各秘密キーには強力なパスワードを個別に選択する必要があります。キーストアは安全で安全な場所に保管する必要があります。

秘密鍵のセキュリティを維持することは、あなたとユーザーの両方にとって非常に重要です。誰かがあなたの鍵を使用することを許可した場合、またはキーストアとパスワードを第三者が見つけて使用できるように安全でない場所に残した場合、あなたのオーサリングIDとユーザの信頼が損なわれます。

https://developer.android.com/studio/publish/app-signing.html

Answer 2

誰とでも任意の証明書や鍵を共有しないでください。 他の人があなたの鍵を違法に使用すると、Googleによるプレイストアアカウントの削除が行われます。 他のアカウントを取得しても、同じPCをもう一度公開してAndroidアプリをコンパイルすることはできません。 また、他の人がアプリケーションを解読または再公開するのに役立ちます