verificación de la firma del archivo zip?

En el TWRP de recuperación personalizado, ¿qué hace la opción "verificación de firma de archivo zip"? ¿Cómo sé si se debe verificar al instalar algo?

Tenga en cuenta que puede desactivarlo en la configuración de TWRP.
@toogley, ¿cómo se puede deshabilitar la "verificación de firma de archivo zip" en la configuración de TWRP?
@NilsB Debería poder marcarlo en la parte superior de la configuración. ¿Quizás estás usando una versión antigua de TWRP?

Respuestas (1)

Básicamente, el indicador de Verificación de la firma del archivo zip habilitará el parpadeo solo si el desarrollador firmó correctamente el archivo zip. Este es (casi) el mismo método utilizado para firmar archivos Jar en Java.

desde aquí

Básicamente, antes de ejecutar cualquier programa de terceros, debe asegurarse de que no haya sido manipulado ( integridad ) y que en realidad fue creado por la entidad de la que dice provenir ( autenticidad ). Esas características generalmente se implementan mediante algún esquema de firma digital, que garantiza que solo la entidad propietaria de la clave de firma puede producir una firma de código válida. El proceso de verificación de firma verifica que el código no haya sido manipulado y que la firma se haya producido con la clave esperada.

Tenga en cuenta lo anterior, que esto (obviamente) no puede detectar si el código en sí es malware, etc., solo que está tal como estaba cuando lo firmó el desarrollador. Tienes que confiar en el desarrollador de cualquier software que flashees.

Un ejemplo de esto es que no puede flashear una ROM personalizada a través de Stock Recovery, ya que la recuperación de stock buscará una firma del fabricante.

También puede detectar si un zip está corrupto, pero no es una verificación definitiva, sería mejor verificar la suma MD5 del archivo y compararla con la proporcionada por el desarrollador de la ROM.

" ¿Cómo sé si se debe verificar? " Esto probablemente va a variar según lo que esté haciendo, generalmente lo dejo en el valor predeterminado de la recuperación particular que estoy usando, y en realidad nunca he tenido para marcarlo o desmarcarlo para cualquier archivo Zip. Tenga en cuenta que algunos paquetes perfectamente funcionales pueden estar firmados incorrectamente y pueden instalarse perfectamente si deshabilita la verificación, pero por el contrario, podría ser un archivo corrupto y reiniciar el dispositivo.

Lo dejo marcado, y si alguien en un hilo / el desarrollador dice que está bien instalarlo, haré una copia de seguridad de nandroid e intentaré actualizarlo con la verificación de firma desactivada. (¡SIEMPRE haz una copia de seguridad!)

Aquí hay un ejemplo de intentar instalar una ROM personalizada en una recuperación S4 estándar:

Encontrando paquete de actualización...
Abriendo paquete de actualización...
Verificando paquete de actualización...
E: Sin firma (188 archivos)
E: Verificación fallida
Instalación cancelada.

Aquí hay un enlace a la información más técnica sobre GitHub que está un poco fuera del alcance para entrar aquí.

Tal como lo entiendo, verificar la autenticidad de una firma (a diferencia de solo su integridad) requiere tener un conjunto de certificados raíz, uno de los cuales debería haber firmado el certificado que firmó el archivo en sí; el código autofirmado solo garantiza la integridad, a menos que el usuario compara manualmente la huella digital del certificado con una fuente confiable. ¿TWRP tiene una lista de certificados raíz incorporados?
verificación de la firma del archivo zip?
RespuestasAquíPolítica de privacidad1y, 0v