проверка подписи файла zip?

11

В пользовательском восстановлении TWRP, что делает опция "проверка подписи файла zip"? Как узнать, нужно ли это проверять при установке чего-либо?

twrp  zip 
Celeritas
источник
Обратите внимание, что вы можете отключить его в настройках TWRP.
Toogley
@toogley, как можно отключить «проверку подписи zip-файла» в настройках TWRP?
NilsB
1
@ NilsB Вы должны иметь возможность поставить галочку в верхней части настроек. Может быть, вы используете старую версию TWRP?
ksyrium

Ответы:

8

По сути, флаг подтверждения подписи Zip-файла будет мигать, только если zip-файл подписан разработчиком должным образом. Это (почти) тот же метод, который используется для подписи файлов Jar в Java.

От сюда

По сути, перед выполнением любой сторонней программы вы хотите убедиться, что она не была подделана ( целостность ) и что она действительно была создана сущностью, от которой, как она утверждает, она поступила ( аутентичность ). Эти функции обычно реализуются с помощью некоторой схемы цифровой подписи, которая гарантирует, что только объект, владеющий ключом подписи, может создать действительную подпись кода. Процесс проверки подписи проверяет и то, что код не был подделан, и что подпись была создана с ожидаемым ключом.

Обратите внимание на вышесказанное, что он (очевидно) не может определить, является ли сам код вредоносным ПО и т. Д., Только так, как он был, когда он был подписан разработчиком. Вы должны доверять разработчику любого программного обеспечения, которое вы используете.

Примером этого является то, что вы не можете прошить кастомное ПЗУ через Stock Recovery, так как Stock recovery будет искать подпись у производителя.

Он также может обнаружить, если почтовый индекс поврежден, но не является окончательной проверкой, лучше проверить сумму MD5 в файле и сравнить с той, которая предоставлена ​​разработчиком ПЗУ.

« Как я узнаю, стоит ли проверять это? » Это, вероятно, будет меняться в зависимости от того, что вы делаете, у меня обычно остается значение по умолчанию для конкретного восстановления, которое я использую, и у меня никогда не было проверить или снять галочку для любых файлов Zip. Имейте в виду, что некоторые совершенно функциональные пакеты могут быть подписаны неправильно и могут быть установлены идеально, если вы отключите проверку, но, наоборот, это может быть поврежденный файл и загрузка устройства.

Я оставляю это проверенным, и если кто-то в потоке / разработчик говорит, что все в порядке, тогда я сделаю резервную копию nandroid и попробую перепрошить с отключенной проверкой подписи. (ВСЕГДА делайте резервную копию!)

Вот пример попытки установить пользовательское ПЗУ на стоковом S4 Recovery:

Поиск пакета обновления ...
Открытие пакета обновления ...
Проверка пакета обновления ...
E: Нет подписи (188 файлов)
E: Ошибка проверки
Установка прервана.

Вот ссылка на более техническую информацию о GitHub, которая немного выходит за рамки, чтобы перейти здесь.

RossC
источник
3
Насколько я понимаю, проверка подлинности подписи (в отличие только от ее целостности) требует наличия набора корневых сертификатов, один из которых должен был подписать сертификат, подписавший сам файл - самоподписанный код гарантирует только целостность, если только пользователь вручную сравнивает отпечаток сертификата с доверенным источником. Есть ли у TWRP список встроенных корневых сертификатов?
Джош
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.