このチュートリアルは、GPG署名検証ツールを使用してダウンロードしたOneKeyアプリのインストールパッケージの完全性と真正性(OneKeyチームによって署名されリリースされたかどうか)を確認するのに役立つことを目的としています。
<>
macOSクライアント
(1) インストールファイルの整合性の確認
まず、検証したいクライアントのインストールパッケージと、対応するASC検証ファイルを公式OneKey GitHubリポジトリからダウンロードします。(以下の例ではバージョン5.9.0を使用します)
ファイルをダウンロードしたディレクトリに移動し、次のコマンドを実行します。
shasum -a 256 --check OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc
上記の画像が示すように、検証結果はチェックサムがファイルの内容と一致していることを示しています。
<>
(2) ASCファイルの検証
ASCファイルの検証はOneKey公式によって生成されており、GPGツールを使用する必要があります。
システムにGNU Privacy Guard (GPG)がまだインストールされていない場合は、このリンクにアクセスして、システムに適したバージョンをダウンロードできます。
リンクをクリックして、ONEKEY公式署名公開鍵をローカルデバイスにダウンロードし、ファイルをダブルクリックして署名をインポートします。
同じディレクトリで、次のコマンドを実行します。
gpg --verify OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc
上記の画像が示すように、ASCファイルは確かに[email protected]によって発行および公開されたものです。
<>
<>
Windowsクライアント
(1) インストールファイルの整合性の確認
まず、Windowsインストールパッケージと対応するバージョンのGPG検証ファイルを公式OneKey GitHubリポジトリからダウンロードします(バージョン5.9.0を例として使用します)。
ファイルをダウンロードしたディレクトリでコマンドラインを開き、コマンドを実行します。ここでは、<file_path>はインストールパッケージが保存されている場所のアドレスです。インストールファイルのハッシュ値をチェックします。
certutil -hashfile <file_path> SHA256
<>
メモ帳を使用して、事前にダウンロードしたASC検証ファイルを開き、ファイル内のハッシュ値と上記に表示された値が一致するかどうかを比較します。
(2) ASCファイルの検証
SHA256SUMS.ascファイルがOneKey公式チームによって生成されたものであることを検証します。この手順にはGPGツールを使用する必要があります。まだインストールしていない場合は、このリンクにアクセスして、システムに適したバージョンをダウンロードしてインストールできます。画像でマークされているGnuPGインストールパッケージを選択することをお勧めします。
<">リンクをクリックしてONEKEY公式署名公開鍵をローカルデバイスにダウンロードし、GPGツールに署名公開鍵をインポートします。
インポートが成功したことを確認した後、次のコマンドを使用して検証します。
gpg --verify SHA256SUMS.asc
<>
ダウンロードしたASCファイルがOneKey公式によって生成されたものであることを確認するためです。最後に成功検証メッセージが表示された場合、検証が成功したことを示します。