verifikasi tanda tangan file zip?

11

Di TWRP pemulihan khusus, apa yang dilakukan opsi "verifikasi tanda tangan file zip"? Bagaimana saya tahu jika harus diperiksa ketika menginstal sesuatu?

Celeritas
sumber
Perhatikan, Anda dapat menonaktifkannya di pengaturan TWRP.
toogley
@toogley bagaimana cara menonaktifkan "verifikasi tanda tangan file zip" di pengaturan TWRP?
NilsB
1
@ NilsB Anda harus dapat mencentangnya di bagian atas dalam pengaturan. Mungkin Anda menggunakan TWRP versi lama?
ksyrium

Jawaban:

8

Pada dasarnya bendera Verifikasi Tanda Tangan File Zip akan memungkinkan flashing hanya jika file zip ditandatangani dengan benar oleh pengembang. Ini (hampir) metode yang sama digunakan untuk menandatangani file Jar di Jawa.

Dari sini

Pada dasarnya, sebelum menjalankan program pihak ketiga apa pun Anda ingin memastikan bahwa itu tidak dirusak ( integritas ) dan bahwa itu sebenarnya dibuat oleh entitas yang diklaim berasal dari ( keaslian ). Fitur-fitur tersebut biasanya diimplementasikan oleh beberapa skema tanda tangan digital, yang menjamin bahwa hanya entitas yang memiliki kunci penandatanganan yang dapat menghasilkan tanda tangan kode yang valid. Proses verifikasi tanda tangan memverifikasi bahwa kode belum dirusak dan bahwa tanda tangan dibuat dengan kunci yang diharapkan.

Catatan dari di atas, bahwa ini (jelas) tidak dapat mendeteksi jika kode itu sendiri adalah malware dll, hanya saja seperti ketika ditandatangani oleh pengembang. Anda harus mempercayai pengembang perangkat lunak apa pun yang Anda instal.

Contohnya adalah Anda tidak dapat mem-flash ROM custom melalui Stock Recovery karena pemulihan stok akan mencari tanda tangan dari pabrikan.

Itu juga dapat mendeteksi jika zip rusak tetapi bukan pemeriksaan definitif, Anda akan lebih baik memverifikasi jumlah MD5 file dan membandingkannya dengan yang disediakan oleh pengembang ROM.

" Bagaimana saya tahu jika harus diperiksa? " Ini mungkin akan bervariasi tergantung pada apa yang Anda lakukan, saya biasanya membiarkannya pada nilai default dari pemulihan tertentu yang saya gunakan, dan saya tidak pernah benar-benar memiliki untuk memeriksa atau menghapus centang pada file Zip apa pun. Ingatlah bahwa beberapa paket yang berfungsi dengan baik mungkin ditandatangani secara tidak benar dan mungkin dipasang dengan sempurna jika Anda menonaktifkan verifikasi, tetapi sebaliknya itu bisa berupa file yang rusak dan bootloop perangkat.

Saya membiarkannya diperiksa, dan jika seseorang di utas / pengembang mengatakan tidak apa-apa untuk menginstal maka saya akan membuat cadangan dan mencoba menginstalnya dengan verifikasi tanda tangan dimatikan. (SELALU membuat cadangan!)

Berikut adalah contoh mencoba menginstal ROM kustom pada S4 Pemulihan saham:

Mencari paket pembaruan ...
Membuka paket pembaruan ...
Memverifikasi paket pembaruan ...
E: Tidak ada tanda tangan (188 file)
E: Verifikasi gagal
Instalasi dibatalkan.

Berikut ini tautan ke informasi teknis lebih lanjut tentang GitHub yang sedikit keluar dari ruang lingkup untuk dibahas di sini.

RossC
sumber
3
Seperti yang saya pahami, memverifikasi keaslian tanda tangan (bukan hanya integritasnya) mengharuskan memiliki satu set sertifikat root, salah satunya harus menandatangani sertifikat yang menandatangani file itu sendiri - kode yang ditandatangani sendiri hanya menjamin integritas, kecuali pengguna secara manual membandingkan sidik jari sertifikat dengan sumber yang tepercaya. Apakah TWRP memiliki daftar sertifikat root bawaan?
Josh