Validar firma en actualizaciones de Apple

Navega tus respuestas
1

Tuve una pequeña oportunidad para instalar la actualización 10.12.5 hoy, pero la actualización no se mostraba en la App Store, así que decidí descárguelo directamente . Noté que la descarga estaba sobre http no cifrado.

Eso estaría bien si pudiera validar la firma en el archivo descargado. No pude encontrar un resumen de suma de comprobación del archivo. Tengo la clave PGP de Apple , pero no tengo claro que Apple realmente firme los paquetes descargados de ninguna manera. Las instrucciones implican que solo usan la clave para firmar notificaciones de seguridad. ¿Hay alguna forma de validar el archivo descargado?

    
pregunta kojiro 16.05.2017 - 15:32

1 respuesta

2

Puedes verificar la firma del paquete:

Monte el archivo dmg (suponiendo que se haya descargado en su carpeta de descargas): 

hdiutil attach ~/Downloads/macosupdcombo10.12.5.dmg

Verificar el paquete: 

pkgutil --check-signature /Volumes/macOS\ Sierra\ Update/macOSUpdCombo10.12.5.pkg

que debería producir el siguiente resultado: 

Package "macOSUpdCombo10.12.5.pkg":
   Status: signed Apple Software
   Certificate Chain:
    1. Software Update
       SHA1 fingerprint: 1E 34 E3 91 C6 44 37 DD 24 BE 57 B1 66 7B 2F DA 09 76 E1 FD
       -----------------------------------------------------------------------------
    2. Apple Software Update Certification Authority
       SHA1 fingerprint: FA 02 79 0F CE 9D 93 00 89 C8 C2 51 0B BC 50 B4 85 8E 6F BF
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Compare la huella digital SHA1 de la Autoridad de Certificación de Actualización de Software de Apple con una de las dos huellas digitales de Apple válidas : 

SHA1 FA 02 79 0F CE 9D 93 00 89 C8 C2 51 0B BC 50 B4 85 8E 6F BF
SHA1 9C 86 47 71 48 B3 D7 04 24 7A 3C 3F 56 EA 2D E5 94 4B 01 C2
    
respondido por el klanomath 16.05.2017 - 16:13

Lea otras preguntas en las etiquetas

Rendimiento WiFi a través de terminal Calorías activas vs Calorías totales durante un entrenamiento [duplicar]