跳至主要內容

使用 GPG 簽名工具驗證 OneKey App 安裝包的完整性與真實性

今日已更新

本教學旨在協助您透過使用 GPG 簽名驗證工具,檢驗您下載的 OneKey App 安裝包的完整性與真實性(是否由 OneKey 團隊簽名發佈)。

macOS 用戶端

(1)校驗安裝檔案的一致性

  • 首先,請在 OneKey 官方 GitHub 儲存庫中,下載您希望驗證的用戶端安裝包及對應的 ASC 校驗檔案。(下圖以版本 5.9.0 為例)

  • 前往下載檔案的目錄,執行以下指令:

sum -a 256 --check OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc 
  • 如上圖所示,應顯示校驗結果與檔案內容一致。

(2)校驗 ASC 檔案

  • 驗證 asc 檔案是否由 OneKey 官方生成,需使用 GPG 工具進行校驗。

  • 如果您尚未在系統中安裝 GNU Privacy Guard (GPG),您可以點擊此處選擇適合您系統的版本下載。

  • 點擊連結下載 ONEKEY 官方簽名公鑰至本地,然後雙擊該檔案匯入簽名。

  • 在相同的目錄執行以下指令:

    gpg --verify OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc 

Windows 用戶端

(1)校驗安裝檔案的一致性

  • 首先,從 OneKey 官方 GitHub 儲存庫下載 Windows 安裝包及對應版本的 GPG 校驗檔案。

    (以 5.9.0 版本為例)

  • 在檔案下載目錄中打開命令提示字元,執行指令 certutil -hashfile 檔案路徑 SHA256,其中「檔案路徑」為下載後存放安裝包的位置,以查看安裝檔案的雜湊值。

  • 使用記事本工具打開上面下載的 ASC 校驗檔案,比對檔案中的雜湊值和上面顯示的雜湊值是否一致。

(2)校驗 ASC 檔案

  • 驗證 SHA256SUMS.asc 檔案是否由 OneKey 官方團隊生成。此步驟需要使用 GPG 工具。若您尚未安裝,可點擊此處選擇適合您系統的版本下載並安裝。建議選擇圖中標記的 GnuPG 安裝包進行安裝。

3.png
  • 點擊連結下載 ONEKEY 官方簽名公鑰至本地,並在 GPG 工具中匯入下載的簽名公鑰。

  • 確認匯入成功後,使用指令 gpg --verify SHA256SUMS.asc 來校驗下載的 asc 檔案是否為 OneKey 官方生成。當底部顯示校驗成功訊息後,即證明校驗成功。

是否回答了您的問題?