此教程旨在帮助您通过使用 GPG 签名验证工具,检验您下载的 OneKey App 安装包的完整性和真实性(是否由 OneKey 团队签名发布)。可检验的安装包范围:
桌面客户端 | 移动客户端 |
macOS Silicon macOS Intel Windows Linux |
Android APK |
在不同操作系统上进行验证的方法
- 首先下载希望验证的客户端安装包到本地。
-
根据您下载的客户端版本号,在 GitHub Release 中找到对应的 GPG 信息校验文件,并点击文件名下载(下图中展示了 v3.3.0 的 GPG 文件位置)。
-
前往下载文件的目录,执行命令:
shasum -a 256 --check SHA256SUMS.asc
- 找到下载的安装包,此处我们下载的是 v3.3.0-mac-arm64 版本,显示它的校验结果与文件内容一致。
- 此处 SHA256SUMS 文件中会将每个版本的所有安装包校验结果集合在一起,所以会出现其他文件提示不存在的警告,这些警告提示不影响本次校验的结果,只需确保当前目录下载的安装包校验结果是 OK 即可。
-
校验 SHA256SUMS.asc 文件是由 OneKey 官方生成,需要使用 GPG 工具进行校验。如果您之前没有在系统上安装 GNU Privacy Guard (GPG),可以访问此处选择合适的系统版本下载: https://www.gnupg.org/download/index.en.html#binary
-
安装成功之后,执行命令获取 dev@onekey.so 的签名公钥:
gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
-
获取成功之后,系统 GPG tools 当中即会显示此公钥由 dev@onekey.so 签发。
-
在同样的目录执行以下命令,则会提示签名建立的时间,及 SHA256SUMS 确实是由 dev@onekey.so 签发公布的。
gpg --verify SHA256SUMS.asc
-
首先下载 windows 安装包到本地。
-
根据您下载的客户端版本号,在 GitHub Release 中找到对应的 GPG 信息校验文件,并点击文件名下载(下图中展示了 v3.3.0 的 GPG 文件位置)。
-
打开 命令行 执行命令
certutil -hashfile 文件路径 SHA256
其中文件路径为下载后存放安装包的地址。
-
此时命令行中提示当前安装包的 sha256 结果,与第二步下载的 SHA256SUMS.asc 文件对比,使用记事本文件打开此文件,找到对应下载的文件查看对比结果是否一致。
-
验证 SHA256SUMS.asc 文件,是否是由 OneKey 官方团队生成,此步骤需要使用 GPG 工具,如果之前没有安装的话,需要前往 https://www.gnupg.org/download/index.en.html#binary 安装,建议选择图中标记的 GnuPG 安装包进行安装。
-
安装完成之后,在对应的安装目录(安装的目标磁盘 \ Program Files(x86)\ GnuPG \ bin )当中,会有
gpg.exe
可执行命令行文件,拖拽此命令行文件进入命令行,即可直接进行执行。
-
执行
gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
即可获取公钥信息。
-
确认导入成功之后,使用命令
gpg --verify SHA256SUMS.asc
来校验 SHA256SUMS.asc 是否是 OneKey 生成,当看到底部校验成功信息之后,即证明校验是成功的。