Replying to Fritz Zorn

Si solo firmas apk o zip la verificación necesita saber manejar gnupg. El hash sería más user friendly, entiendo. Y se firma el hash para mayor garantía. Eso se me ocurre.
Avatar
₿italion 2y ago

Exacto el SO operativo anfitrión dónde será instalado el APK deberá tener el mecanismo de reconocer esa firma como válida y permitir la instalación, o en su lugar informar que contiene o no una firma inválida. En el caso del hash como lo has dicho sería para validar la autenticidad de lo descargado y que es bit a bit igual al origen

Reply to this note

Please Login to reply.

Discussion

Avatar
lunaticoin 2y ago

Pero solo tendrías seguridad de que es el mismo archivo que fue hasheado, pero no que lo creó el dev que pensabas, cierto?

Avatar
vivab0rg 2y ago

Esta debería ser la respuesta correcta. /mod cierre el thread! ;)