回答:
Keytoolによって生成されたキーストアファイルには、秘密鍵と公開鍵のペアが格納されます。キーストアに格納されている各ペアまたはエントリは、一意のエイリアスによって参照されます。簡単に言えば:
キーストアエントリ=秘密+公開鍵のペア=エイリアスで識別
キーストアは、各プライベートキーを個別のパスワードで保護し、また、キーストア全体の整合性を(場合によっては異なる)パスワードで保護します。
たとえば、Eclipse Androidツールの[署名済みアプリケーションパッケージのエクスポート]オプションを使用してAndroidアプリケーションに署名する場合、最初にキーストアを選択するように求められ、次にそのキーストアから単一のエイリアス/エントリ/ペアを選択するように求められます。キーストアと選択したエイリアスの両方にパスワードを入力すると、アプリが署名され、そのエイリアスの公開鍵(証明書)がAPKに埋め込まれます。
質問に答えるには、同じエイリアスで更新に再度署名することによって、エイリアス「foo」で署名されたアプリケーションの更新のみをリリースできます。エイリアスが保存されているキーストアを失うと、アプリの更新バージョンをリリースできなくなります。
ただし、新しいエイリアスでアプリに署名する方法はありますが、keytool -keycloneを使用してキーストアに既存のエイリアスを複製する必要があります。
元のエントリと同じ秘密鍵と証明書チェーンを持つ新しいキーストアエントリを作成します。
元のエントリはエイリアスで識別されます(指定しない場合、デフォルトで「mykey」になります)。新しい(宛先)エントリは、dest_aliasによって識別されます。コマンドラインで宛先エイリアスが指定されていない場合、ユーザーはそのエイリアスの入力を求められます。
秘密鍵のパスワードがキーストアのパスワードと異なる場合、エントリは、有効なキーパスが提供された場合にのみ複製されます。これは、エイリアスに関連付けられた秘密鍵を保護するために使用されるパスワードです。コマンドラインでキーパスワードが指定されておらず、秘密キーパスワードがキーストアパスワードと異なる場合、ユーザーはパスワードの入力を求められます。必要に応じて、複製されたエントリの秘密鍵を別のパスワードで保護できます。コマンドラインで-newオプションが指定されていない場合、ユーザーは新しいエントリのパスワードの入力を求められます(クローンエントリの秘密キーと同じにすることもできます)。
詳しくは:
http://download.oracle.com/javase/1.5.0/docs/tooldocs/solaris/keytool.html
http://developer.android.com/guide/publishing/app-signing.html