Weryfikacja podpisu pliku zip?

11

Co robi opcja „weryfikacji podpisu pliku zip” w niestandardowym TWRP odzyskiwania? Skąd mam wiedzieć, czy należy to sprawdzić podczas instalowania czegoś?

Celeritas
źródło
Pamiętaj, że możesz to wyłączyć w ustawieniach TWRP.
toogley,
@toogley jak można wyłączyć „weryfikację podpisu pliku zip” w ustawieniach TWRP?
NilsB
1
@NilsB Powinieneś mieć możliwość zaznaczenia go u góry w ustawieniach. Może używasz starej wersji TWRP?
ksyrium

Odpowiedzi:

8

Zasadniczo flaga Weryfikacja podpisu pliku zip umożliwi flashowanie tylko wtedy, gdy deweloper poprawnie podpisuje plik zip. Jest to (prawie) taka sama metoda, jak przy podpisywaniu plików Jar w Javie.

od tutaj

Zasadniczo przed uruchomieniem jakiegokolwiek programu innej firmy chcesz się upewnić, że nie został on zmieniony ( integralność ) i że faktycznie został stworzony przez byt, z którego twierdzi, że pochodzi ( autentyczność ). Funkcje te są zwykle implementowane przez jakiś schemat podpisu cyfrowego, który gwarantuje, że tylko podmiot posiadający klucz podpisu może wygenerować prawidłowy podpis kodu. Proces weryfikacji podpisu weryfikuje zarówno to, że kod nie został zmodyfikowany, jak i podpis został wygenerowany z oczekiwanym kluczem.

Należy zauważyć z powyższego, że to (oczywiście) nie jest w stanie wykryć, czy sam kod jest złośliwym oprogramowaniem itp., Tylko że jest tak, jak wtedy, gdy został podpisany przez programistę. Musisz zaufać twórcy oprogramowania, które sflashujesz.

Przykładem tego jest to, że nie można flashować niestandardowej pamięci ROM za pomocą funkcji Odzyskiwanie zapasów, ponieważ odzyskiwanie zapasów będzie szukało podpisu od producenta.

Może również wykryć, czy zip jest uszkodzony, ale nie jest to ostateczna kontrola, lepiej zweryfikuj sumę MD5 pliku i porównaj ją z tą dostarczoną przez programistę ROM.

Skąd mam wiedzieć, czy należy to sprawdzić? ” Prawdopodobnie będzie się to różnić w zależności od tego, co robisz, generalnie pozostawiam domyślną wartość konkretnego odzyskiwania, którego używam i nigdy tak naprawdę nie miałem aby zaznaczyć lub odznaczyć dla plików Zip. Pamiętaj, że niektóre doskonale funkcjonalne pakiety mogą być podpisane niepoprawnie i mogą zostać zainstalowane idealnie, jeśli wyłączysz weryfikację, ale odwrotnie może to być uszkodzony plik i bootloop urządzenia.

Zostawiam zaznaczone, a jeśli ktoś w wątku / deweloper powie, że instalacja jest zrobię kopię zapasową i spróbuję flashować ją przy wyłączonej weryfikacji podpisu. (ZAWSZE wykonaj kopię zapasową!)

Oto przykład próby zainstalowania niestandardowej pamięci ROM na magazynie S4 Recovery:

Znajdowanie pakietu aktualizacji ...
Otwieranie pakietu aktualizacji ...
Weryfikowanie pakietu aktualizacji ...
E: Brak podpisu (188 plików)
E: Weryfikacja nie powiodła się
Instalacja przerwana.

Oto link do bardziej technicznych informacji na GitHub, który jest nieco poza zakresem, aby przejść tutaj.

RossC
źródło
3
Jak rozumiem, weryfikacja autentyczności podpisu (a nie tylko jego integralności) wymaga posiadania zestawu certyfikatów głównych, z których jeden powinien był podpisać certyfikat, który podpisał sam plik - kod samopodpisany gwarantuje tylko integralność, chyba że użytkownik ręcznie porównuje odcisk palca certyfikatu z zaufanym źródłem. Czy TWRP ma wbudowaną listę certyfikatów głównych?
Josh