vérification de la signature du fichier zip?


11

Dans le TWRP de récupération personnalisée, que fait l'option "vérification de la signature du fichier zip"? Comment savoir si elle doit être vérifiée lors de l'installation de quelque chose?


Notez que vous pouvez le désactiver dans les paramètres TWRP.
toogley

@toogley comment peut-on désactiver la "vérification de signature de fichier zip" dans les paramètres TWRP?
NilsB

1
@NilsB Vous devriez être en mesure de le cocher en haut dans les paramètres. Vous utilisez peut-être une ancienne version de TWRP?
ksyrium

Réponses:


8

Fondamentalement, l'indicateur de vérification de la signature du fichier zip n'activera le clignotement que si le fichier zip est signé correctement par le développeur. Il s'agit (presque) de la même méthode que celle utilisée pour signer les fichiers Jar en Java.

D' ici

Fondamentalement, avant d'exécuter un programme tiers, vous voulez vous assurer qu'il n'a pas été falsifié ( intégrité ) et qu'il a bien été créé par l'entité dont il prétend provenir ( authenticité ). Ces fonctionnalités sont généralement mises en œuvre par un schéma de signature numérique, ce qui garantit que seule l'entité possédant la clé de signature peut produire une signature de code valide. Le processus de vérification de signature vérifie à la fois que le code n'a pas été falsifié et que la signature a été produite avec la clé attendue.

Notez à partir de ce qui précède, que cela (évidemment) ne peut pas détecter si le code lui-même est un malware, etc., juste qu'il est tel qu'il était lorsqu'il a été signé par le développeur. Vous devez faire confiance au développeur de tout logiciel que vous flashez.

Un exemple de cela est que vous ne pouvez pas flasher une ROM personnalisée via une récupération de stock car la récupération de stock recherchera une signature du fabricant.

Il peut également détecter si un zip est corrompu mais n'est pas une vérification définitive, vous feriez mieux de vérifier la somme MD5 du fichier et de la comparer à celle fournie par le développeur de la ROM.

" Comment savoir si elle doit être vérifiée? " Cela va probablement varier en fonction de ce que vous faites, je l'ai généralement laissé à la valeur par défaut de la récupération particulière que j'utilise, et je ne l'ai jamais réellement eu pour vérifier ou décocher pour tous les fichiers Zip. Gardez à l'esprit que certains packages parfaitement fonctionnels peuvent être signés de manière incorrecte et peuvent s'installer parfaitement si vous désactivez la vérification, mais à l'inverse, il peut s'agir d'un fichier corrompu et d'une boucle de démarrage de l'appareil.

Je le laisse coché, et si quelqu'un sur un thread / le développeur dit que c'est ok pour installer alors je vais faire une sauvegarde et essayer de le flasher avec la vérification de signature désactivée. (TOUJOURS faire une sauvegarde!)

Voici un exemple d'essayer d'installer une ROM personnalisée sur une récupération S4 stock:

Recherche du package de mise à jour ...
Ouverture du package de mise à jour ...
Vérification du package de mise à jour ...
E: Aucune signature (188 fichiers)
E: Échec de la vérification
Installation interrompue.

Voici un lien vers les informations plus techniques sur GitHub qui sont un peu hors de portée ici.


3
Si je comprends bien, la vérification de l'authenticité d'une signature (par opposition à son intégrité uniquement) nécessite d'avoir un ensemble de certificats racine, dont l'un aurait dû signer le certificat qui a signé le fichier lui-même - le code auto-signé garantit uniquement l'intégrité, sauf si l'utilisateur compare manuellement l'empreinte digitale du certificat à une source fiable. TWRP a-t-il une liste de certificats racine intégrée?
Josh
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.