Passer au contenu principal

Vérifier les paquets de l'application OneKey avec les signatures GPG

Mis à jour aujourd’hui

Ce tutoriel vise à vous aider à vérifier l'intégrité et l'authenticité (c'est-à-dire si le paquet d'installation de l'application OneKey a été signé et publié par l'équipe OneKey) du paquet d'installation de l'application OneKey que vous avez téléchargé à l'aide de l'outil de vérification de signature GPG.

Client macOS

(1) Vérifier la cohérence du fichier d'installation

  • Tout d'abord, téléchargez le paquet d'installation du client que vous souhaitez vérifier et le fichier de vérification ASC correspondant depuis le dépôt GitHub officiel de OneKey. (L'exemple ci-dessous utilise la version 5.9.0)

  • Accédez au répertoire où les fichiers ont été téléchargés et exécutez la commande :

    shasum -a 256 --check OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc

Comme indiqué dans l'image ci-dessus, le résultat de la vérification indique que la somme de contrôle correspond au contenu du fichier.

(2) Vérifier le fichier ASC

  • La vérification du fichier ASC est générée par l'officiel OneKey et nécessite l'utilisation de l'outil GPG.

  • Si vous n'avez pas installé GNU Privacy Guard (GPG) sur votre système précédemment, vous pouvez visiter ce lien pour télécharger la version adaptée à votre système.

  • Cliquez sur le lien pour télécharger la clé publique de signature officielle ONEKEY sur votre appareil local, puis double-cliquez sur le fichier pour importer la signature.

  • Dans le même répertoire, exécutez la commande suivante :

gpg --verify OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc

Comme le montre l'image ci-dessus, le fichier ASC a bien été émis et publié par [email protected].

Client Windows

(1) Vérifier la cohérence du fichier d'installation

  • Tout d'abord, téléchargez le paquet d'installation Windows et le fichier de vérification GPG de la version correspondante depuis le dépôt GitHub officiel de OneKey (en utilisant la version 5.9.0 comme exemple).

  • Ouvrez la ligne de commande dans le répertoire où les fichiers ont été téléchargés et exécutez la commande. Ici, <file_path> est l'adresse où le paquet d'installation est stocké après le téléchargement. Vérifiez la valeur de hachage du fichier d'installation.

certutil -hashfile <file_path> SHA256

  • Utilisez le Bloc-notes pour ouvrir le fichier de vérification ASC téléchargé précédemment et comparez la valeur de hachage dans le fichier avec celle affichée ci-dessus pour voir si elles correspondent.

(2) Vérifier le fichier ASC

  • Vérifiez si le fichier SHA256SUMS.asc a été généré par l'équipe officielle de OneKey. Cette étape nécessite l'utilisation de l'outil GPG. Si vous ne l'avez pas installé précédemment, vous pouvez visiter ce lien pour télécharger et installer la version adaptée à votre système. Il est recommandé de choisir le paquet d'installation GnuPG marqué sur l'image.

3.png

  • Cliquez sur le lien pour télécharger la clé publique de signature officielle ONEKEY sur votre appareil local, et importez la clé publique de signature dans l'outil GPG.

  • Après avoir confirmé que l'importation a réussi, utilisez la commande :

gpg --verify SHA256SUMS.asc

pour vérifier si le fichier ASC téléchargé a été généré par l'officiel OneKey. Lorsque vous voyez le message de vérification de succès en bas, cela indique que la vérification a réussi.

gpg-verify-windows.png
Articles connexes
Démarrer avec OneKey App
Vérifiez le micrologiciel de votre appareil OneKey dans l'application OneKey
Vérifier la cohérence des fichiers de micrologiciel avec le code source ouvert publié par OneKey
Comment OneKey assure la sécurité des mises à jour du firmware et des logiciels ?
Vérification du micrologiciel OneKey Pro avec le code source ouvert
Avez-vous trouvé la réponse à votre question ?