Dieses Tutorial führt die Benutzer durch den Prozess der Überprüfung der Integrität und Authentizität der Installationspakete des OneKey App-Clients auf macOS und Windows mithilfe von Prüfwert- und GPG-Signaturprüfungen. Die unterstützten Installationspaketplattformen zur Überprüfung sind wie folgt:
Desktop-Client
|
Mobile App
|
macOS Silicon macOS Intel Windows Linux
|
Android APK
|
Überprüfung mit Ihrem Betriebssystem
macOS Windows
Laden Sie zunächst das gewünschte Installationspaket für den OneKey App-Client auf Ihren lokalen Computer herunter.
Basierend auf der Versionsnummer des heruntergeladenen Installationspakets suchen Sie die entsprechende GPG-Informationsüberprüfungsdatei im GitHub Release und klicken Sie auf den Dateinamen, um ihn herunterzuladen (das Bild unten zeigt den Speicherort der GPG-Datei für v3.3.0).
Navigieren Sie zu dem Verzeichnis, in dem die Dateien heruntergeladen wurden, und führen Sie den Befehl aus:
shasum -a 256 --check SHA256SUMS.asc
Suchen Sie das heruntergeladene Installationspaket (in diesem Fall haben wir die Version v3.3.0-mac-arm64 heruntergeladen) und überprüfen Sie, ob seine Prüfziffer mit dem Inhalt der Datei übereinstimmt.
Die Datei SHA256SUMS enthält Prüfziffern für alle Versionen der Installationspakete, daher können Sie Warnungen für nicht vorhandene Dateien sehen. Diese Warnungen beeinflussen jedoch nicht das Überprüfungsergebnis. Stellen Sie nur sicher, dass die Prüfziffer für das heruntergeladene Paket in Ordnung ist.
Die Datei SHA256SUMS.asc wird von OneKey erstellt und muss mit GPG-Tools überprüft werden. Wenn Sie das GNU Privacy Guard (GPG) auf Ihrem System noch nicht installiert haben, können Sie es hier herunterladen. https://www.gnupg.org/download/index.en.html#binary
Führen Sie nach der Installation von GPG den Befehl aus, um den öffentlichen Schlüssel zu importieren:
gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
Sobald der Schlüssel importiert ist, führen Sie den folgenden Befehl im gleichen Verzeichnis aus, um die Signatur der Datei SHA256SUMS.asc zu überprüfen:
Dies wird bestätigen, dass die Datei SHA256SUMS tatsächlich von [email protected] signiert wurde.
gpg --verify SHA256SUMS.asc
Laden Sie zunächst das Windows-Installationspaket auf Ihren lokalen Computer herunter.
Basierend auf der Versionsnummer des heruntergeladenen Installationspakets suchen Sie die entsprechende GPG-Informationsüberprüfungsdatei im GitHub Release und klicken Sie auf den Dateinamen, um ihn herunterzuladen (das Bild unten zeigt den Speicherort der GPG-Datei für v3.3.0).
Öffnen Sie die Eingabeaufforderung und führen Sie den Befehl aus (ersetzen Sie <file_path> durch den Pfad zum heruntergeladenen Installationspaket.)
certutil -hashfile <file_path> SHA256
Vergleichen Sie das SHA256-Ergebnis des Befehls mit dem entsprechenden Eintrag in der Datei SHA256SUMS.asc. Sie können die Datei SHA256SUMS.asc mit einem Texteditor öffnen, um den entsprechenden Eintrag zu finden.
Um sicherzustellen, dass die Datei SHA256SUMS.asc von OneKey erstellt wurde, müssen Sie GPG-Tools verwenden. Wenn Sie GPG noch nicht installiert haben, laden Sie es hier herunter. https://www.gnupg.org/download/index.en.html#binary
Hinweis: Es wird empfohlen, den in der Abbildung unten markierten GnuPG-Installer auszuwählen.
Nach der Installation navigieren Sie zu dem Verzeichnis, in dem GPG installiert ist (z. B. C:\Program Files (x86)\GnuPG\bin), und suchen Sie die ausführbare Datei gpg.exe. Ziehen Sie diese ausführbare Datei in die Eingabeaufforderung, um sie auszuführen.
Führen Sie den Befehl aus, um den öffentlichen Schlüssel zu importieren:
gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
Führen Sie nach erfolgreichem Importieren des Schlüssels den Befehl aus
gpg --verify SHA256SUMS.asc
Eine erfolgreiche Überprüfungsnachricht am Ende bestätigt, dass die Datei SHA256SUMS.asc von OneKey erstellt wurde.