verificação de assinatura de arquivo zip?


11

No TWRP de recuperação personalizado, o que a opção "verificação de assinatura de arquivo zip" faz? Como sei se deve ser verificado ao instalar algo?


Observe que você pode desativá-lo nas configurações do TWRP.
toogley

@toogley como desativar a "verificação de assinatura de arquivo zip" nas configurações do TWRP?
NilsB 25/01

1
@ NilsB Você deve poder marcar na parte superior das configurações. Talvez você esteja usando uma versão antiga do TWRP?
ksyrium

Respostas:


8

Basicamente, o sinalizador Verificação de assinatura de arquivo zip habilitará a piscar apenas se o arquivo zip estiver assinado corretamente pelo desenvolvedor. Esse é (quase) o mesmo método usado para assinar arquivos Jar em Java.

A partir daqui

Basicamente, antes de executar qualquer programa de terceiros, você deseja garantir que ele não tenha sido violado ( integridade ) e que foi realmente criado pela entidade da qual afirma vir ( autenticidade ). Esses recursos são geralmente implementados por algum esquema de assinatura digital, que garante que apenas a entidade que possui a chave de assinatura possa produzir uma assinatura de código válida. O processo de verificação de assinatura verifica se o código não foi violado e se a assinatura foi produzida com a chave esperada.

Observe o exposto acima, que isso (obviamente) não pode detectar se o código em si é um malware, etc., exatamente como era quando foi assinado pelo desenvolvedor. Você precisa confiar no desenvolvedor de qualquer software que atualize.

Um exemplo disso é que você não pode exibir uma ROM personalizada por meio de uma Recuperação de estoque, pois a recuperação de estoque procurará uma assinatura do fabricante.

Ele também pode detectar se um zip está corrompido, mas não é uma verificação definitiva; você deveria verificar melhor a soma MD5 do arquivo e compará-la à fornecida pelo desenvolvedor da ROM.

Como sei se ele deve ser verificado? ” Isso provavelmente varia dependendo do que você está fazendo. Geralmente, o valor é deixado no valor padrão da recuperação específica que estou usando e nunca tive realmente para marcar ou desmarcar todos os arquivos Zip. Lembre-se de que alguns pacotes perfeitamente funcionais podem ser assinados incorretamente e podem ser instalados perfeitamente se você desativar a verificação, mas, por outro lado, pode ser um arquivo corrompido e inicializar o dispositivo.

Deixo-o marcado e, se alguém em um tópico / o desenvolvedor diz que não há problema em instalar, farei um backup e tentarei lo com a verificação de assinatura desativada. (SEMPRE faça um backup!)

Aqui está um exemplo de tentativa de instalar uma ROM personalizada em um S4 Recovery padrão:

Localizando o pacote de atualização ...
Abrindo o pacote de atualização ...
Verificando o pacote de atualização ...
E: Sem assinatura (188 arquivos)
E: Falha na verificação A
instalação foi interrompida.

Aqui está um link para informações mais técnicas sobre o GitHub, que estão um pouco fora do escopo aqui.


3
Pelo que entendi, verificar a autenticidade de uma assinatura (em vez de apenas sua integridade) requer um conjunto de certificados raiz, um dos quais deveria ter assinado o certificado que assinou o próprio arquivo - o código autoassinado apenas garante integridade, a menos que o usuário compara manualmente a impressão digital do certificado com uma fonte confiável. O TWRP possui uma lista de certificados raiz integrados?
21717 Josh
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.