verifica della firma del file zip?

11

Nel TWRP di recupero personalizzato, cosa fa l'opzione "verifica firma file zip"? Come faccio a sapere se deve essere verificato durante l'installazione di qualcosa?

twrp  zip 
Celeritas
fonte
Si noti che è possibile disabilitarlo nelle impostazioni TWRP.
toogley,
@toogley come si può disabilitare la "verifica della firma del file zip" nelle impostazioni TWRP?
NilsB,
1
@NilsB Dovresti essere in grado di spuntare in alto nelle impostazioni. Forse stai usando una vecchia versione di TWRP?
ksyrium,

Risposte:

8

Fondamentalmente il flag di verifica della firma del file zip consentirà di lampeggiare solo se il file zip è firmato correttamente dallo sviluppatore. Questo è (quasi) lo stesso metodo usato per firmare i file Jar in Java.

Da qui

Fondamentalmente, prima di eseguire qualsiasi programma di terze parti si desidera assicurarsi che non sia stato manomesso ( integrità ) e che sia stato effettivamente creato dall'entità da cui afferma di provenire ( autenticità ). Tali funzionalità sono di solito implementate da alcuni schemi di firma digitale, che garantiscono che solo l'entità proprietaria della chiave di firma può produrre una firma di codice valida. Il processo di verifica della firma verifica sia che il codice non sia stato manomesso sia che la firma sia stata prodotta con la chiave prevista.

Nota da quanto sopra, che questo (ovviamente) non può rilevare se il codice stesso è malware ecc., Solo che è come era quando è stato firmato dallo sviluppatore. Devi fidarti dello sviluppatore di qualsiasi software flash.

Un esempio di ciò è che non è possibile eseguire il flashing di una ROM personalizzata tramite un ripristino stock poiché il ripristino stock cercherà una firma dal produttore.

Può anche rilevare se uno zip è corrotto ma non è un controllo definitivo, sarebbe meglio verificare la somma MD5 del file e confrontarla con quella fornita dallo sviluppatore ROM.

" Come faccio a sapere se deve essere controllato? " Questo probabilmente varierà a seconda di ciò che stai facendo, in genere me ne resta sul valore predefinito del particolare recupero che sto usando e non ho mai avuto per selezionarlo o deselezionarlo per eventuali file zip. Tieni presente che alcuni pacchetti perfettamente funzionanti potrebbero essere firmati in modo errato e potrebbero essere installati perfettamente se disabiliti la verifica, ma al contrario potrebbe essere un file corrotto e avviare il dispositivo.

Lo lascio selezionato e, se qualcuno su un thread / lo sviluppatore dice che va bene installare, farò un backup nandroid e proverò a lampeggiarlo con la verifica della firma disattivata. (SEMPRE fare un backup!)

Ecco un esempio del tentativo di installare una ROM personalizzata su un ripristino S4 di serie:

Ricerca del pacchetto di aggiornamento ...
Apertura del pacchetto di aggiornamento ...
Verifica del pacchetto di aggiornamento ...
E: Nessuna firma (188 file)
E: Verifica non riuscita
Installazione interrotta.

Ecco un link alle informazioni più tecniche su GitHub che è un po 'fuori portata per approfondire qui.

RossC
fonte
3
A quanto ho capito, per verificare l'autenticità di una firma (anziché solo la sua integrità) è necessario disporre di una serie di certificati radice, uno dei quali avrebbe dovuto firmare il certificato che ha firmato il file stesso - il codice autofirmato garantisce solo integrità, a meno che l'utente confronta manualmente l'impronta digitale del certificato con una fonte attendibile. TWRP ha un elenco di certificati root integrati?
Josh,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.