підтвердження підпису zip-файлу?

11

Що в користувальницькому TWRP для відновлення, що робить опція "перевірка підпису zip-файлу"? Як дізнатись, чи слід це перевіряти при встановленні чогось?

twrp  zip 
Селерити
джерело
Зауважте, що ви можете відключити його в налаштуваннях TWRP.
toogley
@toogley, як можна відключити "підтвердження підпису zip-файлу" в налаштуваннях TWRP?
NilsB
1
@NilsB Ви повинні мати можливість позначити його вгорі в налаштуваннях. Можливо, ви використовуєте стару версію TWRP?
ksyrium

Відповіді:

8

В основному прапор підтвердження підпису Zip-файлу дозволить миготіти, лише якщо zip-файл підписаний розробником належним чином. Це (майже) той самий метод, який використовується для підписання файлів Jar на Java.

від сюди

По суті, перед виконанням будь-якої сторонньої програми ви хочете переконатися, що вона не була підроблена ( цілісність ) і що вона була фактично створена особою, від якої вона стверджує, що походить ( справжність ). Ці функції, як правило, реалізуються за допомогою деякої схеми цифрового підпису, яка гарантує, що тільки суб'єкт, що володіє ключем підпису, може створити дійсну підпис коду. Процес перевірки підпису підтверджує, що код не був підроблений, і що підпис був створений очікуваним ключем.

Зауважимо з вищесказаного, що це (очевидно) не може визначити, чи є сам код зловмисним програмним забезпеченням тощо, просто так, як це було під час його підписання розробником. Ви повинні довіряти розробнику будь-якого програмного забезпечення, яке ви flash.

Прикладом цього є те, що ви не можете прошивати користувальницький ROM через відновлення запасів, оскільки відновлення запасів шукатиме підпис від виробника.

Він також може виявити, якщо поштовий файл пошкоджений, але це не остаточна перевірка, вам краще перевірити суму файлу MD5 та порівняти з тією, яку надав розробник ПЗУ.

" Як я можу дізнатися, чи слід це перевірити? " Це, ймовірно, буде змінюватися залежно від того, що ви робите, я, як правило, залишає значення за замовчуванням для конкретного відновлення, яке я використовую, і я ніколи насправді не мав щоб перевірити або зняти прапорці для будь-яких Zip-файлів. Майте на увазі, що деякі ідеально функціональні пакети можуть бути підписані неправильно, і вони можуть встановитись ідеально, якщо ви вимкнете перевірку, але навпаки, це може бути пошкоджений файл і завантажувати пристрій.

Я залишаю його перевіреним, і якщо хтось із потоку / розробник каже, що це нормально встановити, я зроблю резервну копію нандроїда і спробую прошити її, коли перевірка підпису вимкнена. (ЗАВЖДИ робіть резервну копію!)

Ось приклад спроби встановити користувальницький ROM на запас S4 Recovery:

Пошук пакета оновлень ...
Відкриття пакета оновлення ...
Перевірка пакета оновлень ...
E: Немає підпису (188 файлів)
E: Перевірка не вдалася.
Установка перервана.

Ось посилання на більш технічну інформацію про GitHub, яка трохи виходить за межі тут.

RossC
джерело
3
Як я розумію, перевірка справжності підпису (на відміну від його цілісності) вимагає наявності набору кореневих сертифікатів, один з яких повинен був підписати сертифікат, який підписав сам файл - самопідписаний код гарантує лише цілісність, якщо тільки користувач вручну порівнює відбиток сертифіката з надійним джерелом. Чи є в TWRP вбудований список кореневих сертифікатів?
Джош
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.