이 튜토리얼은 macOS와 Windows에서 체크섬과 GPG 서명 검증을 사용하여 OneKey App 클라이언트 설치 패키지의 무결성과 진위성을 확인하는 방법을 안내합니다. 검증을 지원하는 설치 패키지 플랫폼은 다음과 같습니다:
데스크톱 클라이언트
|
모바일 앱
|
macOS Silicon macOS Intel Windows Linux
|
Android APK
|
운영 체제별로 검증하기
macOS Windows
먼저, 검증하려는 OneKey App 클라이언트 설치 패키지를 로컬 컴퓨터에 다운로드합니다.
다운로드한 클라이언트 설치 패키지의 버전 번호에 따라 Github Release에서 해당하는 GPG 정보 검증 파일을 찾아 파일 이름을 클릭하여 다운로드합니다 (아래 이미지는 v3.3.0의 GPG 파일 위치를 보여줍니다).
파일이 다운로드된 디렉토리로 이동하여 다음 명령어를 실행합니다:
shasum -a 256 --check SHA256SUMS.asc
다운로드한 설치 패키지(이 경우 v3.3.0-mac-arm64 버전)를 찾아 그 체크섬이 파일의 내용과 일치하는지 확인합니다.
SHA256SUMS 파일에는 모든 버전의 설치 패키지에 대한 체크섬이 포함되어 있으므로, 존재하지 않는 파일에 대한 경고가 표시될 수 있습니다. 이러한 경고는 검증 결과에 영향을 미치지 않습니다. 다운로드한 패키지의 체크섬이 OK인지 확인하십시오.
파일은 OneKey에 의해 생성되며 GPG 도구를 사용하여 검증해야 합니다. 시스템에 GNU Privacy Guard (GPG)가 설치되어 있지 않다면, 여기에서 다운로드할 수 있습니다. https://www.gnupg.org/download/index.en.html#binary
GPG를 설치한 후, 공개 키를 가져오기 위해 다음 명령어를 실행합니다:
gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
키가 가져와지면, 동일한 디렉토리에서 다음 명령어를 실행하여 SHA256SUMS.asc 파일의 서명을 검증합니다.
이 명령어는 SHA256SUMS 파일이 [email protected]에 의해 서명되었음을 확인합니다.
gpg --verify SHA256SUMS.asc
먼저, Windows 설치 패키지를 로컬 컴퓨터에 다운로드합니다.
다운로드한 클라이언트 설치 패키지의 버전 번호에 따라 Github Release에서 해당하는 GPG 정보 검증 파일을 찾아 파일 이름을 클릭하여 다운로드합니다 (아래 이미지는 v3.3.0의 GPG 파일 위치를 보여줍니다).
명령 프롬프트를 열고 다음 명령어를 실행합니다 (다운로드한 설치 패키지의 경로로 <file_path>를 대체하십시오).
certutil -hashfile <file_path> SHA256
명령어의 SHA256 결과를 SHA256SUMS.asc 파일의 해당 항목과 비교합니다. SHA256SUMS.asc 파일을 텍스트 편집기로 열어 일치하는 항목을 찾을 수 있습니다.
SHA256SUMS.asc 파일이 OneKey에 의해 생성되었는지 확인하려면 GPG 도구를 사용해야 합니다. GPG가 설치되어 있지 않다면, 여기에서 다운로드하십시오. https://www.gnupg.org/download/index.en.html#binary
참고: 아래 이미지에 표시된 GnuPG 설치 프로그램을 선택하는 것이 좋습니다.
설치 후, GPG가 설치된 디렉토리로 이동하여 (예: C:\Program Files (x86)\GnuPG\bin) gpg.exe 실행 파일을 찾습니다. 이 실행 파일을 명령 프롬프트로 드래그하여 실행합니다.
공개 키를 가져오기 위해 다음 명령어를 실행합니다:
gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B
키가 성공적으로 가져와지면, 다음 명령어를 실행합니다:
gpg --verify SHA256SUMS.asc
하단의 성공적인 검증 메시지는 SHA256SUMS.asc 파일이 OneKey에 의해 생성되었음을 확인합니다.