GPG署名でOneKey Appパッケージを検証する

このチュートリアルは、macOSおよびWindows上でチェックサムとGPG署名検証を使用して、OneKey Appクライアントインストールパッケージの整合性と信頼性を確認する方法を案内します。検証がサポートされているインストールパッケージプラットフォームは次のとおりです:

デスクトップクライアント モバイルアプリ

macOS Silicon

macOS Intel

Windows

Linux

Android APK

検証方法

macOS Windows
  • まず、検証したいクライアントのインストールパッケージをローカルにダウンロードします。
  • ダウンロードしたクライアントのバージョン番号に基づいて、GitHub Releaseで対応するGPG情報検証ファイルを見つけ、ファイル名をクリックしてダウンロードします(下の図はv3.3.0のGPGファイルの位置を示しています)。

gpg-verify-asc-download.png
gpg-verify-download-tool.png
  • ファイルがダウンロードされたディレクトリに移動し、以下のコマンドを実行します:

shasum -a 256 --check SHA256SUMS.asc
mac3.png
  • ダウンロードしたインストールパッケージ(この場合、バージョンv3.3.0-mac-arm64)を見つけ、そのチェックサムがファイルの内容と一致することを確認します。
  • SHA256SUMSファイルにはすべてのバージョンのインストールパッケージのチェックサムが含まれているため、存在しないファイルについて警告が表示されることがあります。これらの警告は検証結果に影響しません。ダウンロードしたパッケージのチェックサムがOKであることを確認してください。
  • ファイルはOneKeyによって生成され、GPGツールを使用して検証する必要があります。システムにGNU Privacy Guard (GPG)をインストールしていない場合は、こちらからダウンロードできます。 https://www.gnupg.org/download/index.en.html#binary

  • GPGをインストールした後、公開鍵をインポートするコマンドを実行します:

gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
  • キーがインポートされたら、同じディレクトリで以下のコマンドを実行してSHA256SUMS.ascファイルの署名を検証します:

  • これにより、SHA256SUMSファイルがdev@onekey.soによって署名されたことが確認されます。

gpg --verify SHA256SUMS.asc

 

この記事は役に立ちましたか?
8人中3人がこの記事が役に立ったと言っています