使用 GPG 签名工具验证 OneKey App 安装包的完整性和真实性

此教程旨在帮助您通过使用 GPG 签名验证工具,检验您下载的 OneKey App 安装包的完整性和真实性(是否由 OneKey 团队签名发布)。可检验的安装包范围:

桌面客户端 移动客户端

macOS Silicon

macOS Intel

Windows

Linux

Android APK

 

在不同操作系统上进行验证的方法

 

macOS Windows
  • 首先下载希望验证的客户端安装包到本地。
  • 根据您下载的客户端版本号,在 GitHub Release 中找到对应的 GPG 信息校验文件,并点击文件名下载(下图中展示了 v3.3.0 的 GPG 文件位置)。

mac2.png
  • 前往下载文件的目录,执行命令:

shasum -a 256 --check SHA256SUMS.asc
mac3.png
  • 找到下载的安装包,此处我们下载的是 v3.3.0-mac-arm64 版本,显示它的校验结果与文件内容一致。
  • 此处 SHA256SUMS 文件中会将每个版本的所有安装包校验结果集合在一起,所以会出现其他文件提示不存在的警告,这些警告提示不影响本次校验的结果,只需确保当前目录下载的安装包校验结果是 OK 即可。
  • 校验 SHA256SUMS.asc 文件是由 OneKey 官方生成,需要使用 GPG 工具进行校验。如果您之前没有在系统上安装 GNU Privacy Guard (GPG),可以访问此处选择合适的系统版本下载: https://www.gnupg.org/download/index.en.html#binary

  • 安装成功之后,执行命令获取 dev@onekey.so 的签名公钥:

gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
  • 获取成功之后,系统 GPG tools 当中即会显示此公钥由 dev@onekey.so 签发。

  • 在同样的目录执行以下命令,则会提示签名建立的时间,及 SHA256SUMS 确实是由 dev@onekey.so 签发公布的。

gpg --verify SHA256SUMS.asc

mac4.png

这篇文章有帮助吗?
8 人中有 3 人觉得有帮助