Dieses Tutorial führt die Benutzer durch den Prozess der Überprüfung der Integrität und Authentizität der Installationspakete des OneKey App-Clients auf macOS und Windows mithilfe von Prüfwert- und GPG-Signaturprüfungen. Die unterstützten Installationspaketplattformen zur Überprüfung sind wie folgt:
| Desktop-Client | Mobile App |
|
macOS Silicon macOS Intel Windows Linux |
Android APK |
Überprüfung mit Ihrem Betriebssystem
- Laden Sie zunächst das gewünschte Installationspaket für den OneKey App-Client auf Ihren lokalen Computer herunter.
-
Basierend auf der Versionsnummer des heruntergeladenen Installationspakets suchen Sie die entsprechende GPG-Informationsüberprüfungsdatei im GitHub Release und klicken Sie auf den Dateinamen, um ihn herunterzuladen (das Bild unten zeigt den Speicherort der GPG-Datei für v3.3.0).
-
Navigieren Sie zu dem Verzeichnis, in dem die Dateien heruntergeladen wurden, und führen Sie den Befehl aus:
shasum -a 256 --check SHA256SUMS.asc- Suchen Sie das heruntergeladene Installationspaket (in diesem Fall haben wir die Version v3.3.0-mac-arm64 heruntergeladen) und überprüfen Sie, ob seine Prüfziffer mit dem Inhalt der Datei übereinstimmt.
- Die Datei SHA256SUMS enthält Prüfziffern für alle Versionen der Installationspakete, daher können Sie Warnungen für nicht vorhandene Dateien sehen. Diese Warnungen beeinflussen jedoch nicht das Überprüfungsergebnis. Stellen Sie nur sicher, dass die Prüfziffer für das heruntergeladene Paket in Ordnung ist.
-
Die Datei SHA256SUMS.asc wird von OneKey erstellt und muss mit GPG-Tools überprüft werden. Wenn Sie das GNU Privacy Guard (GPG) auf Ihrem System noch nicht installiert haben, können Sie es hier herunterladen. https://www.gnupg.org/download/index.en.html#binary
-
Führen Sie nach der Installation von GPG den Befehl aus, um den öffentlichen Schlüssel zu importieren:
gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B-
Sobald der Schlüssel importiert ist, führen Sie den folgenden Befehl im gleichen Verzeichnis aus, um die Signatur der Datei SHA256SUMS.asc zu überprüfen:
-
Dies wird bestätigen, dass die Datei SHA256SUMS tatsächlich von dev@onekey.so signiert wurde.
gpg --verify SHA256SUMS.asc
-
Laden Sie zunächst das Windows-Installationspaket auf Ihren lokalen Computer herunter.
-
Basierend auf der Versionsnummer des heruntergeladenen Installationspakets suchen Sie die entsprechende GPG-Informationsüberprüfungsdatei im GitHub Release und klicken Sie auf den Dateinamen, um ihn herunterzuladen (das Bild unten zeigt den Speicherort der GPG-Datei für v3.3.0).
-
Öffnen Sie die Eingabeaufforderung und führen Sie den Befehl aus (ersetzen Sie <file_path> durch den Pfad zum heruntergeladenen Installationspaket.)
certutil -hashfile <file_path> SHA256-
Vergleichen Sie das SHA256-Ergebnis des Befehls mit dem entsprechenden Eintrag in der Datei SHA256SUMS.asc. Sie können die Datei SHA256SUMS.asc mit einem Texteditor öffnen, um den entsprechenden Eintrag zu finden.
-
Um sicherzustellen, dass die Datei SHA256SUMS.asc von OneKey erstellt wurde, müssen Sie GPG-Tools verwenden. Wenn Sie GPG noch nicht installiert haben, laden Sie es hier herunter. https://www.gnupg.org/download/index.en.html#binary
-
Hinweis: Es wird empfohlen, den in der Abbildung unten markierten GnuPG-Installer auszuwählen.
-
- Nach der Installation navigieren Sie zu dem Verzeichnis, in dem GPG installiert ist (z. B. C:\Program Files (x86)\GnuPG\bin), und suchen Sie die ausführbare Datei gpg.exe. Ziehen Sie diese ausführbare Datei in die Eingabeaufforderung, um sie auszuführen.
-
Führen Sie den Befehl aus, um den öffentlichen Schlüssel zu importieren:
gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B- Führen Sie nach erfolgreichem Importieren des Schlüssels den Befehl aus
gpg --verify SHA256SUMS.asc- Eine erfolgreiche Überprüfungsnachricht am Ende bestätigt, dass die Datei SHA256SUMS.asc von OneKey erstellt wurde.