Convalida la firma sugli aggiornamenti Apple

1

Ho avuto una breve finestra di opportunità per installare l'aggiornamento 10.12.5 oggi, ma l'aggiornamento non è stato visualizzato su App Store, quindi ho deciso di scaricalo direttamente . Ho notato che il download era su http non crittografato.

Sarebbe bene se potessi convalidare la firma sul file scaricato. Non sono riuscito a trovare un riassunto del file. Ho la chiave PGP Apple , ma non mi è chiaro che Apple firmi effettivamente i pacchetti scaricati in alcun modo. Le istruzioni implicano che usano solo la chiave per firmare le notifiche di sicurezza. C'è un modo per convalidare il file scaricato?

    
posta kojiro 16.05.2017 - 15:32
fonte

1 risposta

2

Puoi verificare la firma del pacchetto:

Monta il file dmg (supponendo che sia scaricato nella cartella Download):

hdiutil attach ~/Downloads/macosupdcombo10.12.5.dmg

Verifica il pkg:

pkgutil --check-signature /Volumes/macOS\ Sierra\ Update/macOSUpdCombo10.12.5.pkg 

che dovrebbe produrre il seguente risultato:

Package "macOSUpdCombo10.12.5.pkg":
   Status: signed Apple Software
   Certificate Chain:
    1. Software Update
       SHA1 fingerprint: 1E 34 E3 91 C6 44 37 DD 24 BE 57 B1 66 7B 2F DA 09 76 E1 FD
       -----------------------------------------------------------------------------
    2. Apple Software Update Certification Authority
       SHA1 fingerprint: FA 02 79 0F CE 9D 93 00 89 C8 C2 51 0B BC 50 B4 85 8E 6F BF
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Confronta l'impronta digitale SHA1 dell'Autorità di certificazione dell'aggiornamento del software Apple con una delle due impronte digitali Apple valide :

SHA1 FA 02 79 0F CE 9D 93 00 89 C8 C2 51 0B BC 50 B4 85 8E 6F BF
SHA1 9C 86 47 71 48 B3 D7 04 24 7A 3C 3F 56 EA 2D E5 94 4B 01 C2
    
risposta data 16.05.2017 - 16:13
fonte

Leggi altre domande sui tag