Saiba como funciona o Google Play App Signing | Morettic

Saiba como funciona o Google Play App Signing

porLuis Augusto Moretto

Saiba como funciona o Google Play App Signing

jar signer play store
Google Play App Signing

"Gerenciar chaves de seu APP sempre foi uma questão crítica para o projeto mobile Android. Sem a chave (keystore) seu APP não pode ser atualizado na Play Store. Saiba como funciona agora a assinatura de seu APP com o Google Play App Signing e como sua chave será gerenciada pela infra do Google. "

INtrodução

Em um post anterior mostramos como preparar o seu APP Android para publicar na Play Store criando uma chave, assinando o APP e fazendo o zip align de seu executável para sua otimização. 

Hoje vamos apresentar as novidades do Google Play App Signing em vigor na Play Store desde o dia 17 de maio de 2017.

Diferenças para assinar o apk

Sem o Google Play App Signing: você assina o app com a chave de assinatura e faz upload dele para o Google Play. Em seguida, o app é entregue ao usuário.

Neste método de assinatura do APK, o gerenciamento da Keystore é de responsabilidade do dono do APP.

Em geral as Keystores são armazenadas no controle de versão juntamente com o código fonte do APP para preservar o mesmo e ser de fácil acesso. 

Como o uso do Google Play App Signing é opcional (ainda???) este método continua funcionado até segundo aviso do Google Play….

Com o Google Play App Signing: você assina seu app usando sua chave de upload. Depois disso, o Google verifica e remove a assinatura da chave de upload. Por fim, o Google assina o app de novo com a chave de assinatura original do app fornecida por você e entrega o app ao usuário.

Vale ressaltar que  o Google Play App Signing é um programa opcional e que após inscrever seu app no Google Play App Signing, não é possível cancelar a participação no programa. 

Você pode cancelar a publicação de Seu aplicativo e publicar um novo aplicativo com um novo nome de pacote, sem optar por GPAS, a qualquer momento.

Além disso após aceitar os termos do serviço do Google Play App Signing a chave de assinatura do APK deve ser enviada para o Google gerenciar para você.

Outra mudança importante quanto aos termos do serviço é que você concede ao Google uma licença para modificar seus APKs de aplicativos para otimizar seu desempenho, segurança e / ou tamanho, durante a vida útil do aplicativo. As modificações, e o tempo, serão feitas a critério exclusivo da Google.

tipos de chaves para o App Signing

  • Chave de assinatura do app: a chave (keystore) usada para assinar o APK no dispositivo de um usuário. Você atualmente tem a chave de assinatura do app e faz uso dela para assinar seus APKs. 
  • Chave de upload: uma nova chave que você gera durante a inscrição no programa. Você usará a chave de upload para assinar todos os APKs futuros antes de fazer upload deles para o Play Console.
  • Chave privada: para assinaturas de APK, essa é a chave usada para assiná-lo. A chave privada precisa ser mantida em segredo.
  • Chave pública: para assinaturas de APK, essa é a chave usada para verificar a assinatura de um APK. A chave pública pode ficar visível para todos.
  • Certificado: um certificado contém uma chave pública, bem como algumas informações adicionais de identificação sobre quem possui a chave.
  • Ferramenta PEPK: a Play Encrypt Private Key (PEPK) é uma ferramenta para exportar chaves privadas de um Armazenamento Java (jar signer). Ela também é usada para criptografar chaves particulares a fim de transferi-las para o  Google Play App Signing.