OneKey GitHub 仓库中放置着 OneKey 各类制品的开源代码以及代码经过编译和签名后的正式文件(例如:OneKey App 软件安装包,OneKey 硬件钱包的固件代码等)。当用户需要从 GitHub 下载 OneKey 某个正式文件时,下载的这个过程可能面临被劫持、篡改、损坏等风险,这些风险可能导致您的加密资产安全受到威胁。因此,验证下载的文件是否与 GitHub 服务器上的源文件一致是至关重要的。这篇文章将以校验 OneKey App Wallet 的 APK 文件一致性为例,带您了解在不同操作系统上校验文件一致性的流程。
OneKey 硬件钱包固件仓库: 🔗 github.com/OneKeyHQ/firmware/releases
OneKey App 软件仓库: 🔗 github.com/OneKeyHQ/app-monorepo/releases
校验原理
通过 SHA-256 加密哈希函数,可以将任何长度的数据转换成一个固定长度(256 位,即 32 字节)的唯一序列。当对文件进行 SHA-256 校验时,无论文件多大,都会生成一个唯一的哈希值(也就是Checksum)。如果两个文件的哈希值完全一样,那么我们可以确认这两个文件是相同的。
校验准备
从 GitHub 下载文件
从 GitHub 下载文件对应的 Checksum
校验步骤
请根据您的操作系统查看对应的步骤指导,目前我们提供了 Windows,macOS 和 Linux 三种操作系统的校验方式。
macOS Windows Linux
启动 Terminal。
输入以下指令:(可以在 Finder 拖文件进来直接指定路径)
shasum -a 256 /path/to/file
打开下载好的 SHA256SUMS 文件,比对对应的 Checksum 是否一致。
如果一致,则完成校验。
按下 Windows+R,打开「运行」窗口。
输入 cmd,点击「确定」按钮。
输入以下指令:(请替换文件路径)
crtutil -hashfile c:\path\to\file.exe SHA256
打开下载好的 SHA256SUMS 文件,比对对应的 Checksum 是否一致。
如果一致,则完成校验。
打开命令行。
输入以下指令:(请替换文件路径)
sha256sum /path/to/file
打开下载好的 SHA256SUMS 文件,比对对应的 Checksum 是否一致。
如果一致,则完成校验。