Ist es in Ordnung für mich, alle über mein Zertifikat zu informieren?

Question

Jemand, den ich kenne, hat mich gebeten, mein Zertifikat zu veröffentlichen, damit ich in Zukunft, wenn ich jemals eine App entwickelt habe, die Authentizität benötigt, verifizieren kann, dass die APK von mir stammt.

1. Stimmt das? Können Nutzer die APK mithilfe des Zertifikats verifizieren?
2. Ist es sicher? Können andere Personen mein Zertifikat verwenden, um ein anderes APK zu signieren?

Das Zertifikat sieht wie folgt aus (ich werde dies nicht verwenden, so fühlen sich frei, es zu prüfen):

-----BEGIN CERTIFICATE----- 
MIIF+jCCA+KgAwIBAgIEV4XpqTANBgkqhkiG9w0BAQsFADCBvTEiMCAGCSqGSIb3 
DQEJARYTSU5WQUxJREBJTlZBTElELk5FVDELMAkGA1UEBhMCUEgxEDAOBgNVBAgM 
B0lOVkFMSUQxHTAbBgNVBAcMFFRISVMgQ0VSVCBJUyBJTlZBTElEMR0wGwYDVQQK 
DBRUSElTIENFUlQgSVMgSU5WQUxJRDEPMA0GA1UECwwGZXh5bmlzMSkwJwYDVQQD 
DCBwYW5kYWxpb245OCAoc2FtcGxlIGNlcnRpZmljYXRlKTAgFw0xNjA3MTMwNzEy 
MzRaGA8zMDE1MDcxMzA3MTIzNFowgb0xIjAgBgkqhkiG9w0BCQEWE0lOVkFMSURA 
SU5WQUxJRC5ORVQxCzAJBgNVBAYTAlBIMRAwDgYDVQQIDAdJTlZBTElEMR0wGwYD 
VQQHDBRUSElTIENFUlQgSVMgSU5WQUxJRDEdMBsGA1UECgwUVEhJUyBDRVJUIElT 
IElOVkFMSUQxDzANBgNVBAsMBmV4eW5pczEpMCcGA1UEAwwgcGFuZGFsaW9uOTgg 
KHNhbXBsZSBjZXJ0aWZpY2F0ZSkwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIK 
AoICAQDUY79bSf3rPiNj0dp2/orXrvLroXgT2JCHEpQd9mV4ms0Ee18Xhgcp6ruE 
2A8Cty60hF5lVEc+/UgUJzD4ViHnvMYzv4pl2Hqn1/bm4Fllb/uYpelx+Lz3jYKO 
vl4Izt/luL5zQo537YHENNxUxGeNYdi7mbLwG1P3hgF4QVDz1WJYGo/lGtdcbILX 
03bVmrQ8IltakC/V7th9dCp6KUcDEG+a3iIiOsAwp1tKSFsQsgmiXsNsPqhKhLgA 
ethel3i/1vzhNeYdCd859Q5ONzZNa/Fqpcp2MYU7oPSd7H88Q4r2XQqPHRjJOIhW 
XOAruG/MgLAAvhWn5PCHv/n6MTBalp3/YTx0H6rrjJq9VuH5QxLmb2Yy0PwPdiaL 
8fU/vA6xoIRilq6R7AEy0o1UxRp9yGz/KiiIPd3HVKOc4gSbKXSIZ6ChFTEiPI4j 
Pafh4SXPq2hJr70u3ZanXuu0LcFp0d1mOD31QZ4+QouPVjKPeJlYCVmPpasiuPno 
iIKl5aX3cSDPYi55pA9hxFdCWymlu5t4cq4iGHX4XzDHwxGbMrQYPi06gyEptKb1 
k7zrozN1dsR3/Yjr0EYKhJfFm8uu7N6etDUrX7lYYauzH3oWLArc0sUzMqAjL2wH 
muWmfuLcUGYnJ3Ch4n6jeEkTFKaz5Tg9udgzuAj883/EUvWY/QIDAQABMA0GCSqG 
SIb3DQEBCwUAA4ICAQBKPSUn+iUNPNhvscuFdEQe4Qw6WbWjo2JtIzmHjGVQQiSU 
hLYPrtTNDv5UDSl7SVz/6bayYG3tiZuAUjwdylB5t730s5Q2wu2VPsVbrDnEM4f4 
bNRoRe8etVa3gDhXeGH8AU1yjjeMEfq5U44OSKgltt5DZmSQOBqtsixZjSFOBG0w 
GA4pZM0UQfE6a0M+k7tLozrDIhnBWzDy9rD5oz/71HZeU8VDX3yZRLLc/S7AogQD 
ZTmdYsODbgZjvFNjhZ2bUbL2HdSbCSExw1TEHLiRAy/OJlSwCSVd1ee3nhaUeS7W 
pZNfgTLGrUmcLtl/xvI/cBkUyUVlq8OPXB2G4PEyDjoWN3tolsWY20MI3QrCMUbD 
CapLDWBincu31i9IKXttEuj6XdaqI/lUY9QPQzt+s578kpevvPmD7XNlxisOecV7 
jIJjIgsux41p7fLJfvovdgPsjlycsiCrHdi9/fbfOBpq2n1LH/p/oHuWW6HKJzlv 
33WtVq9DrJnQ8CGGjVoZN1cwgCIk/sgmR9X3JaF0u3Uk1ieSY4DXK67mKKZE6x2P 
BQIhR9WVKlHMtYJR/OcryhDLgBkHeOfYVTi3Gjw+nt58m7xomjEYUw+J9hjtucQw 
gmoHU4TYbcQyUFYk/1wSoUUt66/zX5oEEvCIPEL4yyxx2fjRFXLYLTRpzY77AQ== 
-----END CERTIFICATE----- 

Answer 1

Sie brauchen keine Schlüssel zu veröffentlichen, es sei denn Sie einige Kunden, dass sie muss sicher sein, dass diese apk deine ist. In diesem Fall geben Sie ihnen einfach Ihre public key. Hinweis: Veröffentlichen Sie niemals Ihren privaten Schlüssel, mit Ihrem privaten Schlüssel kann jemand Ihre apk bearbeiten und veröffentlichen.

öffentlichen Schlüssel:

A Public-Key-Zertifikat, das auch als ein digitales Zertifikat oder eine Identität-Zertifikat bekannt ist, enthält den öffentlichen Schlüssel eines öffentlichen/privaten Schlüsselpaares, sowie einige andere Metadaten identifiziert die Besitzer des Schlüssels (z. B. Name und Ort). Der Besitzer des Zertifikats enthält den entsprechenden privaten Schlüssel.

Wenn Sie ein APK signieren, hängt das Signaturtool das Public-Key-Zertifikat an das APK an. Das Public-Key-Zertifikat dient als "Fingerabdruck", der die APK Ihnen und Ihrem entsprechenden privaten Schlüssel eindeutig zuordnet. Dies hilft Android sicherzustellen, dass alle zukünftigen Updates Ihrer APK authentisch sind und vom ursprünglichen Autor stammen.

Private Schlüssel:

Ein Schlüsselspeicher ist eine binäre Datei, die einen oder mehr private Schlüssel enthält. Wenn Sie mit Android Studio ein APK für die Freigabe signieren, können Sie einen neuen Schlüsselspeicher und einen privaten Schlüssel generieren oder einen bereits vorhandenen Schlüsselspeicher und privaten Schlüssel verwenden. Sie sollten ein sicheres Kennwort für Ihren Keystore und ein separates sicheres Kennwort für jeden im Keystore gespeicherten privaten Schlüssel auswählen. Sie müssen Ihren Schlüsselspeicher an einem sicheren Ort aufbewahren.

Die Wahrung der Sicherheit Ihres privaten Schlüssels ist sowohl für Sie als auch für den Benutzer von entscheidender Bedeutung. Wenn Sie zulassen, dass jemand Ihren Schlüssel verwendet, oder wenn Sie Ihren Keystore und Ihre Kennwörter an einem ungesicherten Ort aufbewahren, sodass sie von einem Drittanbieter gefunden und verwendet werden können, sind Ihre Autorenidentität und das Vertrauen des Benutzers gefährdet.

https://developer.android.com/studio/publish/app-signing.html

Answer 2

Sie keine Zertifikate oder Schlüssel nicht mit jemandem teilen. Illegale Verwendung Ihrer Schlüssel durch andere Personen führt zur Entfernung von Google Play Store Accounts. Und Sie können Ihren PC nicht erneut zum Kompilieren von Android-Apps zum Veröffentlichen verwenden (selbst wenn Sie einen anderen Account erhalten). Es hilft auch anderen Menschen, Ihre Anwendung zu knacken oder erneut zu veröffentlichen