Come verificare l'impronta digitale SHA256 dell'APK

Naviga le tue risposte
1

Ho scaricato l'app di segnalazione dal link . Per verificare il download, viene fornita un'impronta digitale. Ma come posso verificare questa impronta digitale con il file? So che posso usare sha256sum per verificare un hash, ma suppongo che per un'impronta digitale ho bisogno di un certificato o qualcosa di simile?

    
posta Jekoula 01.02.2018 - 22:32
fonte

2 risposte

3

Hai perso una parola chiave nella pagina di download:

You can verify the signing certificate on the APK matches this SHA256 fingerprint

(sottolineatura mia)

I file APK sono solo file ZIP in realtà, quindi aprilo con qualsiasi strumento di archiviazione desideri (io uso 7zip) ed estrai META-INF\CERT.RSA da esso. È quindi possibile verificare che l'impronta digitale del certificato corrisponda a quanto scritto sul sito. Nota che questo non è lo stesso dell'hash dell'intero certificato! Dovrai utilizzare keytool per controllarlo.

Il keytool binario è incluso nel JDK Java (di solito nella directory %ProgramFiles%\Java\jdk_<version>\bin\ ) e può essere utilizzato come segue: 

keytool -printcert -file X:\Path\To\CERT.RSA

L'output è simile a questo: 

Owner: CN=Whisper Systems, OU=Research and Development, O=Whisper Systems, L=Pittsburgh, ST=PA, C=US
Issuer: CN=Whisper Systems, OU=Research and Development, O=Whisper Systems, L=Pittsburgh, ST=PA, C=US
Serial number: 4bfbebba
Valid from: Tue May 25 16:24:42 BST 2010 until: Tue May 16 16:24:42 BST 2045
Certificate fingerprints:
         MD5:  D9:0D:B3:64:E3:2F:A3:A7:BD:A4:C2:90:FB:65:E3:10
         SHA1: 45:98:9D:C9:AD:87:28:C2:AA:9A:82:FA:55:50:3E:34:A8:87:93:74
         SHA256: 29:F3:4E:5F:27:F2:11:B4:24:BC:5B:F9:D6:71:62:C0:EA:FB:A2:DA:35:AF:35:C1:64:16:FC:44:62:76:BA:26
         Signature algorithm name: SHA1withRSA
         Version: 3

Puoi vedere che l'impronta digitale SHA256 corrisponde a ciò che abbiamo visto sul sito.

Dopo aver verificato ciò, puoi procedere e installare l'APK sul tuo dispositivo Android. Poiché hai verificato che il certificato di firma all'interno dell'APK corrisponda a quello che il Signal si aspetta di vedere, puoi quindi fare affidamento sul sistema operativo Android per verificare che l'APK sia firmato correttamente - non ti consentirà di caricarlo altrimenti .

    
risposta data 02.02.2018 - 00:05
fonte
0

non dovresti aprirlo. Dovrebbe essere usato come comando nel terminale, come nell'esempio fornito 

keytool -printcert -file X:\Path\To\CERT.RSA
    
risposta data 05.01.2019 - 13:01
fonte

Leggi altre domande sui tag

Devo disabilitare TLS 1.0 del tutto? [duplicare] C'è un white paper o una spiegazione di ECDSA da qualche parte? [chiuso]