Este tutorial orienta os usuários sobre como verificar a integridade e autenticidade dos pacotes de instalação do cliente OneKey App no macOS e Windows usando verificação de checksum e assinatura GPG. As plataformas de pacotes de instalação suportadas para verificação são as seguintes:
Cliente de Desktop | Aplicativo Móvel |
macOS Silicon macOS Intel Windows Linux |
Android APK |
Verifique com seu Sistema Operacional
- Primeiro, baixe o pacote de instalação do cliente OneKey App que deseja verificar para sua máquina local.
-
Com base no número da versão do pacote de instalação do cliente que você baixou, encontre o arquivo de verificação de informações GPG correspondente no Github Release e clique no nome do arquivo para baixá-lo (a imagem abaixo mostra a localização do arquivo GPG para a versão v3.3.0).
-
Navegue até o diretório onde os arquivos foram baixados e execute o comando:
shasum -a 256 --check SHA256SUMS.asc
- Localize o pacote de instalação baixado (neste caso, baixamos a versão v3.3.0-mac-arm64) e verifique se seu checksum corresponde ao conteúdo do arquivo.
- O arquivo SHA256SUMS contém checksums para todas as versões dos pacotes de instalação, então você pode ver avisos para arquivos que não estão presentes. Esses avisos não afetam o resultado da verificação. Apenas certifique-se de que o checksum do pacote baixado está OK.
-
O arquivo SHA256SUMS.asc é gerado pelo OneKey e precisa ser verificado usando ferramentas GPG. Se você não instalou o GNU Privacy Guard (GPG) no seu sistema, pode baixá-lo aqui. https://www.gnupg.org/download/index.en.html#binary
-
Após instalar o GPG, execute o comando para importar a chave pública:
gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
-
Uma vez que a chave é importada, execute o seguinte comando no mesmo diretório para verificar a assinatura do arquivo SHA256SUMS.asc
-
Isso confirmará que o arquivo SHA256SUMS foi realmente assinado por dev@onekey.so.
gpg --verify SHA256SUMS.asc
-
Primeiro, baixe o pacote de instalação do Windows para sua máquina local.
-
Com base no número da versão do pacote de instalação do cliente que você baixou, encontre o arquivo de verificação de informações GPG correspondente no Github Release e clique no nome do arquivo para baixá-lo (a imagem abaixo mostra a localização do arquivo GPG para a versão v3.3.0).
-
Abra o Prompt de Comando e execute o comando (Substitua <file_path> pelo caminho do pacote de instalação baixado).
certutil -hashfile <file_path> SHA256
-
Compare o resultado SHA256 do comando com a entrada correspondente no arquivo SHA256SUMS.asc. Você pode abrir o arquivo SHA256SUMS.asc com um editor de texto para encontrar a entrada correspondente.
-
Para garantir que o arquivo SHA256SUMS.asc foi gerado pelo OneKey, você precisa usar ferramentas GPG. Se você não instalou o GPG, baixe-o aqui. https://www.gnupg.org/download/index.en.html#binary
-
Nota: Recomenda-se escolher o instalador do GnuPG marcado na imagem abaixo.
-
- Após a instalação, navegue até o diretório onde o GPG está instalado (por exemplo, C:\Program Files (x86)\GnuPG\bin) e localize o executável gpg.exe. Arraste este executável para o Prompt de Comando para executá-lo.
-
Execute o comando para importar a chave pública:
gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
- Após importar a chave com sucesso, execute o comando:
gpg --verify SHA256SUMS.asc
- Uma mensagem de verificação bem-sucedida na parte inferior confirmará que o arquivo SHA256SUMS.asc foi gerado pelo OneKey.