Ir al contenido principal

Verificar Paquetes de la Aplicación OneKey con Firmas GPG

Actualizado hoy

Este tutorial tiene como objetivo ayudarte a verificar la integridad y autenticidad (si fue firmado y lanzado por el equipo de OneKey) del paquete de instalación de la aplicación OneKey que descargaste utilizando la herramienta de verificación de firmas GPG.

Cliente macOS

(1) Comprobar la Consistencia del Archivo de Instalación

  • Primero, descarga el paquete de instalación del cliente que deseas verificar y el archivo de verificación ASC correspondiente desde el repositorio oficial de OneKey en GitHub. (El siguiente ejemplo usa la versión 5.9.0)

  • Navega al directorio donde se descargaron los archivos y ejecuta el comando:

    shasum -a 256 --check OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc

Como se muestra en la imagen anterior, el resultado de la verificación indica que la suma de verificación coincide con el contenido del archivo.

(2) Verificar el Archivo ASC

  • La verificación del archivo ASC es generada por el oficial de OneKey y requiere el uso de la herramienta GPG.

  • Si no has instalado GNU Privacy Guard (GPG) en tu sistema previamente, puedes visitar este enlace para descargar la versión adecuada para tu sistema.

  • Haz clic en el enlace para descargar la clave pública de firma oficial de ONEKEY a tu dispositivo local, luego haz doble clic en el archivo para importar la firma.

  • En el mismo directorio, ejecuta el siguiente comando:

gpg --verify OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc

Como se muestra en la imagen anterior, el archivo ASC fue efectivamente emitido y publicado por [email protected].

Cliente Windows

(1) Comprobar la Consistencia del Archivo de Instalación

  • Primero, descarga el paquete de instalación de Windows y el archivo de verificación GPG de la versión correspondiente desde el repositorio oficial de OneKey en GitHub (usando la versión 5.9.0 como ejemplo).

  • Abre la línea de comandos en el directorio donde se descargaron los archivos y ejecuta el comando. Aquí, <file_path> es la dirección donde se almacena el paquete de instalación después de descargarlo. Comprueba el valor hash del archivo de instalación.

certutil -hashfile <file_path> SHA256

  • Usa el Bloc de notas para abrir el archivo de verificación ASC descargado previamente y compara el valor hash en el archivo con el que se muestra arriba para ver si coinciden.

(2) Verificar el Archivo ASC

  • Verifica si el archivo SHA256SUMS.asc fue generado por el equipo oficial de OneKey. Este paso requiere el uso de la herramienta GPG. Si no la has instalado previamente, puedes visitar este enlace para descargar e instalar la versión adecuada para tu sistema. Se recomienda elegir el paquete de instalación de GnuPG marcado en la imagen.

3.png

  • Haz clic en el enlace para descargar la clave pública de firma oficial de ONEKEY a tu dispositivo local e importa la clave pública de firma en la herramienta GPG.

  • Después de confirmar que la importación fue exitosa, usa el comando:

gpg --verify SHA256SUMS.asc

para verificar si el archivo ASC descargado fue generado por el oficial de OneKey. Cuando veas el mensaje de verificación exitosa en la parte inferior, indica que la verificación ha sido exitosa.

gpg-verify-windows.png
Artículos relacionados
Empieza con la App OneKey
Autenticar la consistencia de los archivos descargados con sus versiones del servidor
Autenticar la consistencia de los archivos de firmware con el código fuente abierto publicado por OneKey
¿Cómo garantiza OneKey la seguridad de las actualizaciones de firmware y software?
Verificación del firmware de OneKey Pro con código de fuente abierta
¿Ha quedado contestada tu pregunta?