使用 GPG 签名工具验证 OneKey App 安装包的完整性和真实性

首先在 OneKey 官方 GitHub 仓库中，下载希望验证的客户端安装包和对应的 ASC 校验文件。（下图以版本 5.9.0 为例）

前往下载文件的目录，执行命令：

如上图所示，显示校验结果与文件内容一致。

校验 asc 文件是由 OneKey 官方生成，需要使用 GPG 工具进行校验。

如果您之前没有在系统上安装 GNU Privacy Guard (GPG)，可以访问此处选择合适的系统版本下载

点击链接下载 ONEKEY 官方签名公钥到本地，双击文件导入签名

在同样的目录执行以下命令：

如上图所示，ASC 文件确实是由 [email protected] 签发公布的

首先从 OneKey 官方 GitHub 仓库下载 windows 安装包及对应版本的 GPG 校验文件

（以 5.9.0 版本为例）

在文件下载的目录中打开 命令行，执行命令 certutil -hashfile 文件路径 SHA256 其中文件路径为下载后存放安装包的地址，查看安装文件的哈希值

使用记事本工具打开上面下载的 ASC 校验文件，比对文件中的哈希值和上面显示的哈希值是否一致

验证 SHA256SUMS.asc 文件，是否是由 OneKey 官方团队生成，此步骤需要使用 GPG 工具，如果之前没有安装，可以访问此处选择合适的系统版本下载并安装，建议选择图中标记的 GnuPG 安装包进行安装。

点击链接下载 ONEKEY 官方签名公钥到本地，在 GPG工具中下载导入的签名公钥

确认导入成功之后，使用命令 gpg --verify SHA256SUMS.asc 来校验下载的 asc 文件是否是 OneKey 官方生成，当看到底部校验成功信息之后，即证明校验是成功的。