本教學旨在協助您透過使用 GPG 簽名驗證工具,檢驗您下載的 OneKey App 安裝包的完整性與真實性(是否由 OneKey 團隊簽名發佈)。
macOS 用戶端
(1)校驗安裝檔案的一致性
首先,請在 OneKey 官方 GitHub 儲存庫中,下載您希望驗證的用戶端安裝包及對應的 ASC 校驗檔案。(下圖以版本 5.9.0 為例)
前往下載檔案的目錄,執行以下指令:
sum -a 256 --check OneKey-Wallet-5.9.0-mac-arm64.dmg.SHA256SUMS.asc
如上圖所示,應顯示校驗結果與檔案內容一致。
(2)校驗 ASC 檔案
如上圖所示,ASC 檔案確實是由 [email protected] 簽發公佈的。
Windows 用戶端
(1)校驗安裝檔案的一致性
首先,從 OneKey 官方 GitHub 儲存庫下載 Windows 安裝包及對應版本的 GPG 校驗檔案。
(以 5.9.0 版本為例)
在檔案下載目錄中打開命令提示字元,執行指令
certutil -hashfile 檔案路徑 SHA256
,其中「檔案路徑」為下載後存放安裝包的位置,以查看安裝檔案的雜湊值。
使用記事本工具打開上面下載的 ASC 校驗檔案,比對檔案中的雜湊值和上面顯示的雜湊值是否一致。
(2)校驗 ASC 檔案
驗證 SHA256SUMS.asc 檔案是否由 OneKey 官方團隊生成。此步驟需要使用 GPG 工具。若您尚未安裝,可點擊此處選擇適合您系統的版本下載並安裝。建議選擇圖中標記的 GnuPG 安裝包進行安裝。
點擊連結下載 ONEKEY 官方簽名公鑰至本地,並在 GPG 工具中匯入下載的簽名公鑰。
確認匯入成功後,使用指令
gpg --verify SHA256SUMS.asc
來校驗下載的 asc 檔案是否為 OneKey 官方生成。當底部顯示校驗成功訊息後,即證明校驗成功。