Hai perso una parola chiave nella pagina di download:
You can verify the signing certificate on the APK matches this SHA256 fingerprint
(sottolineatura mia)
I file APK sono solo file ZIP in realtà, quindi aprilo con qualsiasi strumento di archiviazione desideri (io uso 7zip) ed estrai META-INF\CERT.RSA
da esso. È quindi possibile verificare che l'impronta digitale del certificato corrisponda a quanto scritto sul sito. Nota che questo non è lo stesso dell'hash dell'intero certificato! Dovrai utilizzare keytool
per controllarlo.
Il keytool
binario è incluso nel JDK Java (di solito nella directory %ProgramFiles%\Java\jdk_<version>\bin\
) e può essere utilizzato come segue:
keytool -printcert -file X:\Path\To\CERT.RSA
L'output è simile a questo:
Owner: CN=Whisper Systems, OU=Research and Development, O=Whisper Systems, L=Pittsburgh, ST=PA, C=US
Issuer: CN=Whisper Systems, OU=Research and Development, O=Whisper Systems, L=Pittsburgh, ST=PA, C=US
Serial number: 4bfbebba
Valid from: Tue May 25 16:24:42 BST 2010 until: Tue May 16 16:24:42 BST 2045
Certificate fingerprints:
MD5: D9:0D:B3:64:E3:2F:A3:A7:BD:A4:C2:90:FB:65:E3:10
SHA1: 45:98:9D:C9:AD:87:28:C2:AA:9A:82:FA:55:50:3E:34:A8:87:93:74
SHA256: 29:F3:4E:5F:27:F2:11:B4:24:BC:5B:F9:D6:71:62:C0:EA:FB:A2:DA:35:AF:35:C1:64:16:FC:44:62:76:BA:26
Signature algorithm name: SHA1withRSA
Version: 3
Puoi vedere che l'impronta digitale SHA256 corrisponde a ciò che abbiamo visto sul sito.
Dopo aver verificato ciò, puoi procedere e installare l'APK sul tuo dispositivo Android. Poiché hai verificato che il certificato di firma all'interno dell'APK corrisponda a quello che il Signal si aspetta di vedere, puoi quindi fare affidamento sul sistema operativo Android per verificare che l'APK sia firmato correttamente - non ti consentirà di caricarlo altrimenti .