Transmit 5のリリース整合性について

この記事では、Transmit 5 の最新バージョンの配布元と、その完全性を確認する方法について詳しく説明します。

Transmit 5.11.1 チェックサム

Transmit 5.11.1.zip アーカイブ https://download.panic.com/transmit/Transmit 5.11.1.zip の SHA256 チェックサムは:

d6f34b9aca7cda1c5913b12b9e30d1d65b7362a5e5588c3558d980a4b0c4fdaa

チェックサムを確認するには

Transmit 5.11.1.zip をダウンロードします
ターミナルで下記のコマンドを入力します:

$ shasum -a 256 ~/Downloads/Transmit\ 5.11.1.zip

以下のように、上記のチェックサムと同じハッシュが出力されることをご確認ください:

d6f34b9aca7cda1c5913b12b9e30d1d65b7362a5e5588c3558d980a4b0c4fdaa  /Users/panic/Downloads/Transmit 5.11.1.zip

以上の操作により、ダウンロードされたアーカイブは私たちのウェブサイトで公開されているものと同一と確認することができます。

残念ながらチェックサムだけを確認しても Transmit 5.11.1.zip の内容が変更されていないことの証明にはなりません*。しかし、もう 1ステップ追加することで、上記のチェックサムすなわち Zip アーカイブの内容が Panic の公開したオリジナルであるかどうかを判断することが可能です。

*なぜ？ 悪意ある攻撃者がウェブサイト上のアーカイブを置き換え、さらに新しい SHA256 ハッシュでこの記事を書き換えるという可能性がゼロとは完全に言い切れないからです。一方で、万が一そのような場合でもチェックサムは引き続き有効です。

Transmit 5.11.1 チェックサム署名

我々の公開鍵を使用し、上記の SHA256 チェックサムを PGP 署名しました:

署名を検証するには

インタラクションに沿ってGnuPGをインストールします
ターミナルを開きます
上記の PGP メッセージから -----BEGIN PGP MESSAGE----- および -----END PGP MESSAGE----- 間をコピーします
echo "<message" | gpg --verify - コマンドを使用して、上記のコピーされたPGPメッセージを検証します

最も重要なことは、Panic によって署名されたというメッセージが現れるかどうかです:

さらに、Signed Text がオリジナルのチェックサムと一致するかもご確認ください:

d6f34b9aca7cda1c5913b12b9e30d1d65b7362a5e5588c3558d980a4b0c4fdaa

両方の項目が一致すれば、本記事のチェックサムが Panic オリジナルのものだと確認することができます。

より確実にするために

正当性を証明するために、以下の2段階の認証を使用しました:

あなたがダウンロードした Transmit 5.11.1.zip が、私たちのウェブサイト上のものと同一であることを保証するためのチェックサム
チェックサムがオリジナルかどうかを保証するための PGP 署名

これらにより、オリジナルのアプリを確実にインストールすることが可能です。

サポート

本件に関してお気付きの点やご質問等ございましたら、何なりと support@japan.panic.com までお問い合わせください。

マッチする記事が見つかりました:

マッチする記事が見つかりませんでした。