Apple 的协同设计实用程序如何决定使用哪种 SHA 算法对共享库进行签名？

2023-12-29

首先，有一点背景知识：我正在调查为什么我公司的 MacOS/X 应用程序（从所有方面来看，该应用程序似乎都已正确签名；它在 MacOS/X 10.11.x 和 10.12.x 下运行良好；Gatekeeper 在所有方面都很好） MacOS 版本；“spctl --assess”和“codesign -vvvv”都表示它满足所有操作系统版本的要求）但是不会在 OS/X 10.10.x 下启动 - 当我尝试启动时在 10.10.x 下它，我收到一份崩溃报告，其中 dyld 抱怨某些库未正确签名：

Dyld Error Message:
  Library not loaded:     @executable_path/../Frameworks/libcrypto.1.0.0.dylib
  Referenced from: /Applications/MyApplication v123/MyApplication.app/Contents/MacOS/MyApplication
  Reason: no suitable image found.  Did find:
  /Applications/MyApplication v123/MyApplication.app/Contents/MacOS/../Frameworks/libcrypto.1.0.0.dylib: code signature invalid for '/Applications/MyApplication v123/MyApplication.app/Contents/MacOS/../Frameworks/libcrypto.1.0.0.dylib'

在调查这个问题时，我注意到 .app/Contents/Framework 中的库——它们都是通过运行 OS/X 10.12 的 OS/X 构建机器上的构建/包脚本使用完全相同的协同设计命令进行签名的—— - 为它们计算不同类型的哈希值。

也就是说，如果我查看其中一个非 Qt .dylib 文件的签名方式，我会发现它只记录了 sha256 哈希值：

sierrabuild-polaris:MyApp v123 autobuild$ codesign -vvvd ./MyApp.app/Contents/Frameworks/libsndfile.1.dylib 
Executable=/Applications/MyApp v123/MyApp.app/Contents/Frameworks/libsndfile.1.dylib
Identifier=libsndfile.1
Format=Mach-O thin (x86_64)
CodeDirectory v=20200 size=4140 flags=0x0(none) hashes=125+2 location=embedded
Hash type=sha256 size=32
CandidateCDHash sha256=b4256e9bf0fac567bb8ac86f56964c066b93d069
Hash choices=sha256     <----------------------------- ONLY 256!?
CDHash=b4256e9bf0fac567bb8ac86f56964c066b93d069
Signature size=8846
Authority=Developer ID Application: MyCompany
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=Jan 24, 2017, 1:39:58 AM
Info.plist=not bound
TeamIdentifier=5XD27G7646
Sealed Resources=none
Internal requirements count=1 size=172

...但是如果我看看任何一个强制 Qt 框架是如何签名的，OTOH，我发现它同时包含 sha1 和 sha256 哈希值：

sierrabuild-polaris:MyApp v123 autobuild$ codesign -vvvd ./MyApp.app/Contents/Frameworks/QtCore.framework/Versions/5/QtCore
Executable=/Applications/MyApp v123/MyApp.app/Contents/Frameworks/QtCore.framework/Versions/5/QtCore
Identifier=org.qt-project.QtCore
Format=bundle with Mach-O thin (x86_64)
CodeDirectory v=20200 size=42549 flags=0x0(none) hashes=1324+3 location=embedded
Hash type=sha256 size=32
CandidateCDHash sha1=09b5854f83091228f1baaad1455e7a30d6500c95
CandidateCDHash sha256=6dfdc74da06618e1b406a6e5fd0794fe43701def
Hash choices=sha1,sha256    <------------- BOTH sha1 and sha256, yay!
CDHash=6dfdc74da06618e1b406a6e5fd0794fe43701def
Signature size=8896
Authority=Developer ID Application: MyCompany
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=Jan 24, 2017, 1:39:57 AM
Info.plist entries=8
TeamIdentifier=5XD27G7646
Sealed Resources version=2 rules=13 files=1
Internal requirements count=1 size=184

鉴于尝试在 Yosemite 下运行我的应用程序时 dyld 的错误总是引用只有 sha256 哈希值的库之一，我的工作理论是 OS/X 10.10.x 的 dyld 足够古老，以至于它不知道 SHA- 256 哈希值，这就是为什么当它尝试加载仅使用 SHA-256 哈希值签名的强制共享库时会出错。

我的问题（假设我在这里没有完全指出错误的树）是：codesign 如何决定何时单独使用 sha256 哈希标记文件，而不是同时添加 sha1 和 sha256 哈希？我怎样才能强制协同设计始终包含两个哈希值，以便我的应用程序可以再次在 10.10.x 下启动（就像我们将构建机器升级到 OSX/Sierra 之前一样）？

作为记录，以下是我在构建脚本中调用 codesign 的方式——所有库的调用参数都完全相同（包括以 sha1、sha256 结尾的 Qt 框架库和以 sha1、sha256 结尾的非 Qt 库）仅具有 sha256），例如：

codesign -f -v -s "Developer ID Application:  MyCompanyName" "./Frameworks/libcrypto.1.0.0.dylib"
codesign -f -v -s "Developer ID Application:  MyCompanyName" "./Frameworks/QtCore.framework/Versions/5/QtCore"

经过大量谷歌搜索后，这个答案 https://stackoverflow.com/a/40980658/131930 and 这个答案 https://stackoverflow.com/a/17148833/131930引导我找到解决方案。

问题是我的应用程序中包含的几个第三方共享库仅使用其默认构建设置（例如“./configure; make”）进行编译，并且由于它们是在 OS/X 10.12 下编译的，因此它们自然编译时仅考虑 10.12 兼容性。

为了让它们以这样的方式进行编译，使得生成的 .dylib 文件也适用于早期的 OS/X 版本，我将这些行添加到构建脚本的顶部：

export  LDFLAGS="-mmacosx-version-min=10.9"   
export   CFLAGS="-mmacosx-version-min=10.9"   
export CXXFLAGS="-mmacosx-version-min=10.9"

...这对除 libssl 之外的所有库（libssh2、libsndfile、libogg、libflac、libvorbis 等）都有效——对于那个库，我必须手动修改配置文件并插入 -mmacosx- version-min 参数以这种方式转换为编译器的命令行参数。

经过这一更改，codesign 现在将 SHA-1 和 SHA-256 哈希值应用于所有 .dylib 文件，并且生成的 .app 现在可以在 10.10.x 下按预期运行。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Apple 的协同设计实用程序如何决定使用哪种 SHA 算法对共享库进行签名？的相关文章

OSX - Composer - lib-openssl 要求

自从上次 XCode 更新到版本 7 3 1 以来我遇到了以下问题composer and openssl在 OSX 上更新之前有效我尝试通过作曲家更新来更新软件包套餐 ricardoper twitteroauth 需要lib o
在 Cocoa 中声明对象时，我应该将它们设置为 nil 吗？

假设我想创建一个实例NSString 根据另一个变量的值初始化为某个值通常情况下我会这样做 NSString string if foo 1 string Foo is one else string Foo is not one 然而
Mac OS 上的 pybluez 安装错误

我尝试安装pybluez使用以下命令 pip install pybluez sudo easy install pybluez 但对于这两个命令我最终都会出错环境 Mac OSX 10 9 1 Python 2 7 点日志 cc fno
代码签名身份 <名称> 与任何有效的、未过期的代码签名证书不匹配

我希望有人能帮我解决这个令人抓狂的问题我和我的朋友正在开发一个 mac 商店应用程序托管在 github 上一个月前我们使用他的开发中心帐户从他的机器上发布了该应用程序我最近将源代码从 github 拉到我的机器上以进行更新但
在 Mac OS X 上的某个时刻，移动光标未显示在焦点上

我有基于 Swing 的应用程序每当我们在组件上移动鼠标时它都会显示移动光标图标并通过拖动来移动该组件我已经为此使用了代码 mycomponent setCursor Cursor getPredefinedCursor Curso
观察 CALayer 中的动画属性变化

我有一个CABasicAnimation动画 a 的属性CALayer e g bounds origin 我希望能够观察属性随时间的变化但还没有真正找到一种 100 有效的方法我尝试使用 KVO 键值观察 presentationLa
错误：安装 ffi 时出错：错误：无法构建 gem 本机扩展

我在 Mac 64 位系统中遇到此错误并且机器上安装了 xcode Building native extensions This could take a while ERROR Error installing ffi ERROR F
使用通配符在 .zshrc 中获取多个文件

我通过 oh my zsh 使用 z shell 我想从 zshrc 文件中获取多个别名文件这样我就可以让事情井井有条我已经为别名文件添加了前缀 alias 这样我就可以通配符加载它们但是打电话给source alias 只加载第一
在 Swift 中将进程标准输出重定向到 Apple 系统日志工具

我正在为 macOS 构建一个启动子进程的 Swift 应用程序该子进程将有用的信息记录到stdout 我在 Xcode 控制台中看到它我现在想要实现的是重定向子流程stdout到Apple Log Facility 以便我们可以在部署
vim - 如何删除 netrw？

我正在测试https github com skwp dotfiles https github com skwp dotfiles 不幸的是它确实安装了很多我不想要的东西例如现在使用空的 vimrc 当我打开 vim 时我得到 N
Intellij Idea：导入Gradle项目-尚未定义JAVA_HOME

Intellij 理念 14 1 4 Mac OS X Yosemite 10 10 3 及更高版本从 IDE Import Project gt Chosen directory to import gt Import project
Mac OS X 文件关联有效，但文件图标未更改

我使用 Qt 5 3 2 开发了一个 Mac 应用程序该应用程序处理具有特定扩展名的文件比方说 xyz 我创建了一个名为 XYZ icns 的图标文件并将其添加到我的应用程序包资源文件夹中 MyApp app Contents Res
bash 别名中允许使用哪些字符[关闭]

Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案我最近添加了 alias cd alias cd alias cd 到我的 bash aliases 文件玩弄这个我注意到在别名时被
如何使用 swift 从 core-grapics API 获取窗口列表

我正在尝试使用 Swift 从核心图形 API 获取 OSX 上的窗口列表以便稍后捕获它们的图像经过一番研究我发现 CGWindowListCopyWindowInfo Objective C API 调用具有以下签名 CFArray
无法在 Mac 上将 JanusGraph 连接到本地 Cassandra

我已在 Mac OS X 10 11 6 上安装并运行 Cassandra 3 11 1 跑步cqlsh在终端中打印以下消息 Connected to Test Cluster at 127 0 0 1 9042 cqlsh 5 0 1 C
Delphi - 将字符串从 UTF-8 转换回来

我在将 UTF 8 编码字符串转换回 delphi 可用的字符串时遇到问题该应用程序是用 XE8 编写的并部署在 Windows 和 OSX 上该应用程序分别在 Windows 和 OSX 上使用 LimeLM API dll 和 d
Mac OS X 10.9 上的 Python3、lxml 和“未找到符号：_lzma_auto_decoder”

我已经使用 homebrew 安装了 python 3 然后安装了 pip3 和 lxml 下面一行从 lxml 导入主菜导致以下错误 python3 Python 3 3 5 v3 3 5 62cf4e77f785 Mar 9 201
OSX/Cocoa 应用程序通常使用什么位置来存储数据文件？

他们是否将它们写入存储在应用程序包包本身中或者其他一些规范位置还是好像没有什么标准文件通常会进入 Library Application Support Your App 偏好设置进去 Library Preferences
Xamarin 没有安装的配置文件与安装的 iOS 签名身份匹配

我想知道是否可以在 ios 设备上编译 Xamarin 应用程序使用 Visual Studio for mac 而无需成为开发人员费用为 99 美元年因为当我尝试在 iPhone 上构建项目时出现此错误 Xamarin iOS C
禁用将应用程序窗口置于前面。关闭另一个窗口后

我有包含 2 个 NSWindowController 的 OSX 应用程序我的问题可以通过以下几个步骤来描述使用 2 个窗口启动应用程序选择另一个应用程序的窗口将其中一个窗口放在另一个应用程序窗口前面第二个窗口将保留在底部关闭

随机推荐

Jupyter：当内核就绪时以编程方式清除所有单元的输出

我有一个问题如何在笔记本完成加载后当内核准备好时以及用户本人手动执行代码之前以编程方式清除清理 Jupyter 笔记本中所有单元格的输出基本上我希望笔记本在加载完成后看起来很干净并且我希望自动完成我怎样才能强加这样的命令c
我收到此警告：对最后一个参数的参数类型不精确的 varargs 方法进行非 varargs 调用；

这是我收到警告的示例代码 Class aClass Class forName impl Method method aClass getMethod getInstance null item PreferenceItem method
快速删除动画

我有一个文本字段用户应在其中输入信息还有一个将用户指向文本字段的标签如提示一旦用户按下文本字段输入数据我想停止动画并删除提示标签文本标签上有重复的动画创建者 override func viewDidLoad super vi
在哪里可以找到 android.support.v7.mediarouter.R$attr？

简洁版本实例化 android support v7 app MediaRouteButton 对象时出现未处理的异常我得到 NoClassDefFoundError android support v7 mediarouter R a
显示表单时如何运行代码？

我认为 Load 事件可能会有所帮助但以下代码只是立即显示完成 public Form1 InitializeComponent Load new EventHandler Form1 Load void Form1 Load obje
Android 首选项片段文本颜色

我想更改 android 首选项片段中的文本颜色我目前正在使用自定义主题来更改复选框图像背景 onClick 突出显示除了文本颜色之外一切都非常有效我不想使用默认主题我想拥有自己的主题这样一切看起来都是我想要的但只是更改文本
如何在 Javascript 中比较 Unicode 字符串？

当我用 JavaScript 编写时 gt Z 它返回true 按照 Unicode 顺序它当然应该是false 如何解决这个问题我的网站使用 UTF 8 您可以使用Intl Collator https developer mozil
使用 HTMLUnit 调用 JavaScript 函数

我正在尝试调用该函数showPage 3 of 供之后使用页面源代码我尝试做htmlUnit像这样 WebClient webClient new WebClient webClient waitForBackgroundJavaScri
如何使用 Google Apps 脚本在个人 Google 云端硬盘和团队云端硬盘之间移动文件？

最近我通过 Google 访问了 Google Team DriveTeam Drive 早期采用者 https gsuiteupdates googleblog com 2016 11 google team drives early
检索 iPhone 上的当前当地时间？

我希望获取用户 iPhone 上的当前小时和分钟以便在不显示状态栏的应用程序中显示有没有一种简单的方法可以做到这一点 get current date time NSDate today NSDate date NSDateFormat
IE8 开发者工具中的 console.time()

有没有相当于 console time console timeEnd 在 IE8 开发者工具中没有但您可以使用 JavaScript 轻松定义它 console time implementation for IE if window
Flask-Admin can_create = True 仅适用于给定用户

我将 Flask Admin 与 Flask Login 和 mongoengine 结合使用我希望根据用户自定义视图以下是一个例子can create 允许创建模型 class MyModelView ModelView column
检测用户是否已滚动离开顶部

对此的明显答案是简单地将一个事件附加到滚动事件 var scrolled false window scroll function if window scrollTop gt 0 scrolled true else scrolled f
如何获取 OrderedDict 中的“下一个”项目？

我正在使用 OrderedDict 随机访问列表但现在想要next我所拥有的列表中的一项 foo OrderedDict apple 4 banana 3 orange 2 pear 1 apple foo apple 我怎样才能只用得到
以编程方式显示 Eclipse 插件中的视图

我有一个带有视图的 Eclipse RCP 应用程序插件 RCP 应用程序中发生事件后插件将被实例化调用其方法来填充插件的模型但我无法找到如何在不进入显示视图菜单的情况下显示视图我认为工作台单例中会有一些东西可以处理这个问题但
ROR 中的 JSON 数组解析

我从我的 Android 应用程序中获取以下格式的 JSON list itemno w01 name t01 amount 120 status done itemno w02 name t02 amount 120 status don
替换 Electron 中的“提示”

如何替换javascript的函数prompt在电子有人能给我举个例子吗我尝试使用该功能prompt 但出现错误未捕获的错误 prompt 不受支持也不会受支持 prompt confirm and alert这些函数会阻塞脚本的执
nil 不是用于搜索实体名称“GroupMessageInfo”的合法 NSPersistentStoreCoordinator

错误信息 persistentStoreCoordinator is nil persistentStoreCoordinator is nil persistentStoreCoordinator is nil persistentSto
Angular - TransferState - 页面加载两次（闪烁）

我对 Angular 5 2 10 有一个小问题TransferState模块目前我正在使用 Angular Universal 最新版本来使我的网站 SEO 友好一切工作正常除了一件事页面首先加载在服务器端然后内容消失并加
Apple 的协同设计实用程序如何决定使用哪种 SHA 算法对共享库进行签名？

首先有一点背景知识我正在调查为什么我公司的 MacOS X 应用程序从所有方面来看该应用程序似乎都已正确签名它在 MacOS X 10 11 x 和 10 12 x 下运行良好 Gatekeeper 在所有方面都很好 MacOS

Apple 的协同设计实用程序如何决定使用哪种 SHA 算法对共享库进行签名？

Apple 的协同设计实用程序如何决定使用哪种 SHA 算法对共享库进行签名？ 的相关文章

随机推荐

热门标签

Apple 的协同设计实用程序如何决定使用哪种 SHA 算法对共享库进行签名？的相关文章