GPG 서명으로 OneKey App 패키지 검증하기

이 튜토리얼은 macOS와 Windows에서 체크섬과 GPG 서명 검증을 사용하여 OneKey App 클라이언트 설치 패키지의 무결성과 진위성을 확인하는 방법을 안내합니다. 검증을 지원하는 설치 패키지 플랫폼은 다음과 같습니다:

데스크톱 클라이언트 모바일 앱

macOS Silicon

macOS Intel

Windows

Linux

Android APK

운영 체제별로 검증하기

macOS Windows
  • 먼저, 검증하려는 OneKey App 클라이언트 설치 패키지를 로컬 컴퓨터에 다운로드합니다.
  • 다운로드한 클라이언트 설치 패키지의 버전 번호에 따라 Github Release에서 해당하는 GPG 정보 검증 파일을 찾아 파일 이름을 클릭하여 다운로드합니다 (아래 이미지는 v3.3.0의 GPG 파일 위치를 보여줍니다).

 
gpg-verify-download-tool.png
  • 파일이 다운로드된 디렉토리로 이동하여 다음 명령어를 실행합니다:

shasum -a 256 --check SHA256SUMS.asc
mac3.png
  • 다운로드한 설치 패키지(이 경우 v3.3.0-mac-arm64 버전)를 찾아 그 체크섬이 파일의 내용과 일치하는지 확인합니다. 
  • SHA256SUMS 파일에는 모든 버전의 설치 패키지에 대한 체크섬이 포함되어 있으므로, 존재하지 않는 파일에 대한 경고가 표시될 수 있습니다. 이러한 경고는 검증 결과에 영향을 미치지 않습니다. 다운로드한 패키지의 체크섬이 OK인지 확인하십시오.
  • 파일은 OneKey에 의해 생성되며 GPG 도구를 사용하여 검증해야 합니다. 시스템에 GNU Privacy Guard (GPG)가 설치되어 있지 않다면, 여기에서 다운로드할 수 있습니다. https://www.gnupg.org/download/index.en.html#binary

  • GPG를 설치한 후, 공개 키를 가져오기 위해 다음 명령어를 실행합니다:

gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
  • 키가 가져와지면, 동일한 디렉토리에서 다음 명령어를 실행하여 SHA256SUMS.asc 파일의 서명을 검증합니다.

  • 이 명령어는 SHA256SUMS 파일이 dev@onekey.so에 의해 서명되었음을 확인합니다.

gpg --verify SHA256SUMS.asc

 

도움이 되었습니까?
8명 중 3명이 도움이 되었다고 했습니다.