verificación de firma de archivo zip?

11

En el TWRP de recuperación personalizada, ¿qué hace la opción "verificación de firma de archivo zip"? ¿Cómo sé si debe verificarse al instalar algo?

twrp  zip 
Celeritas
fuente
Tenga en cuenta que puede deshabilitarlo en la configuración TWRP.
toogley
@toogley, ¿cómo se puede deshabilitar la "verificación de firma de archivo zip" en la configuración de TWRP?
NilsB
1
@NilsB Debería poder marcarlo en la parte superior de la configuración. ¿Quizás estás usando una versión antigua de TWRP?
ksyrium

Respuestas:

8

Básicamente, el indicador de verificación de firma de archivo zip permitirá el parpadeo solo si el archivo zip está firmado correctamente por el desarrollador. Este es (casi) el mismo método utilizado para firmar archivos Jar en Java.

Desde aqui

Básicamente, antes de ejecutar cualquier programa de terceros, debe asegurarse de que no haya sido alterado ( integridad ) y que en realidad haya sido creado por la entidad de la que afirma provenir ( autenticidad ). Esas características generalmente se implementan mediante un esquema de firma digital, que garantiza que solo la entidad que posee la clave de firma puede producir una firma de código válida. El proceso de verificación de firma verifica tanto que el código no ha sido alterado como que la firma se produjo con la clave esperada.

Tenga en cuenta lo anterior, que esto (obviamente) no puede detectar si el código en sí es malware, etc., solo que es como era cuando fue firmado por el desarrollador. Tienes que confiar en el desarrollador de cualquier software que flashees.

Un ejemplo de esto es que no puede actualizar una ROM personalizada a través de una Recuperación de existencias, ya que la recuperación de existencias buscará una firma del fabricante.

También puede detectar si un archivo zip está dañado pero no es una verificación definitiva, sería mejor verificar la suma MD5 del archivo y compararla con la proporcionada por el desarrollador de ROM.

" ¿Cómo sé si debería verificarse? " Esto probablemente variará dependiendo de lo que esté haciendo, generalmente lo tengo en el valor predeterminado de la recuperación particular que estoy usando, y nunca he tenido para marcarlo o desmarcarlo para cualquier archivo Zip. Tenga en cuenta que algunos paquetes perfectamente funcionales pueden estar firmados incorrectamente y pueden instalarse perfectamente si deshabilita la verificación, pero a la inversa podría ser un archivo corrupto y reiniciar el dispositivo.

Lo dejo marcado, y si alguien en un hilo / el desarrollador dice que está bien instalarlo, haré una copia de seguridad de nandroid e intentaré flashearlo con la verificación de firma desactivada. (¡SIEMPRE haga una copia de seguridad!)

Aquí hay un ejemplo de cómo intentar instalar una ROM personalizada en una recuperación de S4 estándar:

Buscando paquete de actualización ...
Abriendo paquete de actualización ...
Verificando paquete de actualización ...
E: Sin firma (188 archivos)
E: Verificación fallida
Instalación abortada.

Aquí hay un enlace a la información más técnica sobre GitHub que está un poco fuera de alcance para entrar aquí.

RossC
fuente
3
Según tengo entendido, verificar la autenticidad de una firma (en lugar de solo su integridad) requiere tener un conjunto de certificados raíz, uno de los cuales debería haber firmado el certificado que firmó el archivo en sí mismo; el código autofirmado solo garantiza la integridad, a menos que el usuario compara manualmente la huella digital del certificado con una fuente confiable. ¿TWRP tiene una lista de certificados raíz incorporados?
Josh
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.