이 튜토리얼은 GPG 서명 확인 도구를 사용하여 다운로드한 OneKey 앱 설치 패키지의 무결성과 정품 여부(OneKey 팀에서 서명하고 릴리스했는지 여부)를 확인하는 데 도움이 되는 것을 목표로 합니다.
macOS 클라이언트
(1) 설치 파일의 일관성 확인
먼저 확인하려는 클라이언트 설치 패키지와 해당 ASC 확인 파일을 공식 OneKey GitHub 저장소에서 다운로드합니다. (아래 예시는 버전 5.9.0을 사용합니다)
파일을 다운로드한 디렉토리로 이동하여 다음 명령을 실행합니다:
shasum -a 256 --check OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc
위 이미지에 표시된 것처럼 확인 결과는 체크섬이 파일 내용과 일치함을 나타냅니다.
(2) ASC 파일 확인
ASC 파일 확인은 OneKey 공식에서 생성하며 GPG 도구 사용이 필요합니다.
시스템에 GNU Privacy Guard(GPG)가 설치되어 있지 않은 경우, 시스템에 적합한 버전을 다운로드하려면 이 링크를 방문할 수 있습니다.
링크를 클릭하여 ONEKEY 공식 서명 공개 키를 로컬 장치로 다운로드한 다음 파일을 두 번 클릭하여 서명을 가져옵니다.
같은 디렉토리에서 다음 명령을 실행합니다:
gpg --verify OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc
위 이미지에 표시된 것처럼 ASC 파일이 [email protected]에 의해 실제로 발급 및 게시되었습니다.
Windows 클라이언트
(1) 설치 파일의 일관성 확인
먼저, Windows 설치 패키지와 해당 버전의 GPG 확인 파일을 공식 OneKey GitHub 저장소에서 다운로드합니다(버전 5.9.0을 예시로 사용).
파일이 다운로드된 디렉토리에서 명령줄을 열고 명령을 실행합니다. 여기서 <file_path>는 설치 패키지가 다운로드 후 저장된 주소입니다. 설치 파일의 해시 값을 확인합니다.
certutil -hashfile <file_path> SHA256
메모장을 사용하여 이전에 다운로드한 ASC 확인 파일을 열고 파일의 해시 값과 위에 표시된 해시 값을 비교하여 일치하는지 확인합니다.
(2) ASC 파일 확인
SHA256SUMS.asc 파일이 OneKey 공식 팀에 의해 생성되었는지 확인합니다. 이 단계에는 GPG 도구 사용이 필요합니다. 이전에 설치하지 않은 경우 이 링크를 방문하여 시스템에 적합한 버전을 다운로드하고 설치할 수 있습니다. 이미지에 표시된 GnuPG 설치 패키지를 선택하는 것이 좋습니다.
링크를 클릭하여 ONEKEY 공식 서명 공개 키를 로컬 장치로 다운로드하고 GPG 도구에서 서명 공개 키를 가져옵니다.
가져오기가 성공했는지 확인한 후 다음 명령을 사용합니다:
gpg --verify SHA256SUMS.asc
다운로드한 ASC 파일이 OneKey 공식에 의해 생성되었는지 확인합니다. 하단에 성공 확인 메시지가 표시되면 확인이 성공했음을 나타냅니다.