验证下载文件与服务器文件的一致性

OneKey GitHub 仓库中放置着 OneKey 各类制品的开源代码以及代码经过编译和签名后的正式文件(例如:OneKey App 软件安装包,OneKey 硬件钱包的固件代码等)。当用户需要从 GitHub 下载 OneKey 某个正式文件时,下载的这个过程可能面临被劫持、篡改、损坏等风险,这些风险可能导致您的加密资产安全受到威胁。因此,验证下载的文件是否与 GitHub 服务器上的源文件一致是至关重要的。这篇文章将以校验 OneKey App Wallet 的 APK 文件一致性为例,带您了解在不同操作系统上校验文件一致性的流程。

OneKey 硬件钱包固件仓库: 🔗 github.com/OneKeyHQ/firmware/releases

OneKey App 软件仓库: 🔗 github.com/OneKeyHQ/app-monorepo/releases

校验原理

通过 SHA-256 加密哈希函数,可以将任何长度的数据转换成一个固定长度(256 位,即 32 字节)的唯一序列。当对文件进行 SHA-256 校验时,无论文件多大,都会生成一个唯一的哈希值(也就是Checksum)。如果两个文件的哈希值完全一样,那么我们可以确认这两个文件是相同的。

校验准备

  • 从 GitHub 下载文件
  • 从 GitHub 下载文件对应的 Checksum 

opensouce-verify-1.png

校验步骤

请根据您的操作系统查看对应的步骤指导,目前我们提供了 Windows,macOS 和 Linux 三种操作系统的校验方式。

macOS Windows Linux
  • 启动 Terminal。
  • 输入以下指令:(可以在 Finder 拖文件进来直接指定路径) 
    • shasum -a 256 /path/to/file

opensource-verify-2.png

  • 打开下载好的 SHA256SUMS 文件,比对对应的 Checksum 是否一致。

opensource-verify-3.png

  • 如果一致,则完成校验。
这篇文章有帮助吗?
2 人中有 2 人觉得有帮助