<div dir="auto"><br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">Den sön 4 dec. 2022 00:35Sam Hartman <<a href="mailto:hartmans@mit.edu">hartmans@mit.edu</a>> skrev:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">>>>>> "Jerry" == Jerry Leichter <<a href="mailto:leichter@lrw.com" target="_blank" rel="noreferrer">leichter@lrw.com</a>> writes:<br>
<br>
<br>
I don't know much about Android.<br>
I'm guessing rotating such a key must be harder than usual.<br>
I'd be interested in details on what it would take to rotate a<br>
compromised Android app signing key.<br></blockquote></div><div dir="auto"><br></div><div dir="auto">It's just annoying, not super hard. Package names must be replaced (and then app data must be transferred, stuff like the system backup services can already handle this), or else the switch needs a reboot / system update in order to substitute all package signatures and Android's list of associated signing keypairs (overcomplicated compared to the other option). </div><div dir="auto"><br></div><div dir="auto">Changing package names may break some app integrations which will require a bunch of apps to be updated. </div><div class="gmail_quote" dir="auto"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote></div></div>