跳至主要內容

驗證下載文件與伺服器文件的一致性

今日已更新

OneKey GitHub 儲存庫中放置著 OneKey 各類製品的開源程式碼以及程式碼經過編譯和簽名後的正式文件(例如:OneKey App 軟體安裝包,OneKey 硬體錢包的韌體程式碼等)。當用戶需要從 GitHub 下載 OneKey 某個正式文件時,下載的這個過程可能面臨被劫持、篡改、損壞等風險,這些風險可能導致您的加密資產安全受到威脅。因此,驗證下載的文件是否與 GitHub 伺服器上的源文件一致是至關重要的。這篇文章將以校驗 OneKey App Wallet 的 APK 文件一致性為例,帶您了解在不同作業系統上校驗文件一致性的流程。

OneKey 硬體錢包韌體儲存庫: 🔗 github.com/OneKeyHQ/firmware/releases

OneKey App 軟體儲存庫: 🔗 github.com/OneKeyHQ/app-monorepo/releases

校驗原理

透過 SHA-256 加密雜湊函數,可以將任何長度的數據轉換成一個固定長度(256 位元,即 32 位元組)的唯一序列。當對文件進行 SHA-256 校驗時,無論文件多大,都會生成一個唯一的雜湊值(也就是 Checksum)。如果兩個文件的雜湊值完全一樣,那麼我們可以確認這兩個文件是相同的。

校驗準備

  • 從 GitHub 下載文件

  • 從 GitHub 下載文件對應的 Checksum

校驗步驟

請根據您的作業系統查看對應的步驟指導,目前我們提供了 Windows,macOS 和 Linux 三種作業系統的校驗方式。

macOS Windows Linux

  • 啟動 Terminal。

  • 輸入以下指令:(可以在 Finder 拖文件進來直接指定路徑)

    • shasum -a 256 /path/to/file

  • 打開下載好的 SHA256SUMS 文件,比對對應的 Checksum 是否一致。

  • 如果一致,則完成校驗。

  • 按下 Windows+R,打開「執行」視窗。

  • 輸入 cmd,點擊「確定」按鈕。

  • 輸入以下指令:(請替換文件路徑)

    • crtutil -hashfile c:\path\to\file.exe SHA256

  • 打開下載好的 SHA256SUMS 文件,比對對應的 Checksum 是否一致。

  • 如果一致,則完成校驗。

  • 打開命令列。

  • 輸入以下指令:(請替換文件路徑)

    • sha256sum /path/to/file

  • 打開下載好的 SHA256SUMS 文件,比對對應的 Checksum 是否一致。

  • 如果一致,則完成校驗。

是否回答了您的問題?