首先下载希望验证的客户端安装包到本地。

根据您下载的客户端版本号，在 GitHub Release 中找到对应的 GPG 信息校验文件，并点击文件名下载（下图中展示了 v3.3.0 的 GPG 文件位置）。

前往下载文件的目录，执行命令：

找到下载的安装包，此处我们下载的是 v3.3.0-mac-arm64 版本，显示它的校验结果与文件内容一致。

此处 SHA256SUMS 文件中会将每个版本的所有安装包校验结果集合在一起，所以会出现其他文件提示不存在的警告，这些警告提示不影响本次校验的结果，只需确保当前目录下载的安装包校验结果是 OK 即可。

校验 SHA256SUMS.asc 文件是由 OneKey 官方生成，需要使用 GPG 工具进行校验。如果您之前没有在系统上安装 GNU Privacy Guard (GPG)，可以访问此处选择合适的系统版本下载： https://www.gnupg.org/download/index.en.html#binary

安装成功之后，执行命令获取 [email protected] 的签名公钥：

获取成功之后，系统 GPG tools 当中即会显示此公钥由 [email protected] 签发。

在同样的目录执行以下命令，则会提示签名建立的时间，及 SHA256SUMS 确实是由 [email protected] 签发公布的。

首先下载 windows 安装包到本地。

根据您下载的客户端版本号，在 GitHub Release 中找到对应的 GPG 信息校验文件，并点击文件名下载（下图中展示了 v3.3.0 的 GPG 文件位置）。

打开 命令行 执行命令 certutil -hashfile 文件路径 SHA256 其中文件路径为下载后存放安装包的地址。

此时命令行中提示当前安装包的 sha256 结果，与第二步下载的 SHA256SUMS.asc 文件对比，使用记事本文件打开此文件，找到对应下载的文件查看对比结果是否一致。

验证 SHA256SUMS.asc 文件，是否是由 OneKey 官方团队生成，此步骤需要使用 GPG 工具，如果之前没有安装的话，需要前往 https://www.gnupg.org/download/index.en.html#binary 安装，建议选择图中标记的 GnuPG 安装包进行安装。

安装完成之后，在对应的安装目录（安装的目标磁盘 \ Program Files（x86）\ GnuPG \ bin ）当中，会有 gpg.exe 可执行命令行文件，拖拽此命令行文件进入命令行，即可直接进行执行。

执行 gpg --keyserver keys.openpgp.org --recv-keys EB68AE544F1FDD8CD264624FB369A67A90BF387B 即可获取公钥信息。

确认导入成功之后，使用命令 gpg --verify SHA256SUMS.asc 来校验 SHA256SUMS.asc 是否是 OneKey 生成，当看到底部校验成功信息之后，即证明校验是成功的。