最近收到社区反馈，市面上存在不法分子制作的假 Tronlink APK 包，可能会危害到用户的资产安全。

不法分子会通过反编译的方式在正版 APK 中植入可以盗取私钥、助记词的代码，然后打包发布到其他网站或渠道中“守株待兔”。

当用户通过搜索引擎或者他人推荐的方式下载和使用了钱包，那么他的私钥或助记词将发生泄露，从而丢失所有资产。

所以我们专门撰写验证教程，指导用户通过 SHA256 / PGP 验证确认当前使用的 APK 包是否为正版。

TronLink 安卓 APK 包验证目前支持的验证方式

1. SHA256 验证

2. PGP 验证

以下为相关TronLink 官网 APK 包 PGP 公钥信息

• GitHub-TronLink: https://github.com/TronLink/Tronlink-Android

• 公钥：7B910EA80207596075E6D7BA5D34F7A6550473BA

• 用户 id: build_tronlink <build@tronlink.org>

SHA256 是什么

SHA256 值是通过 SHA256 算法计算 APK 包的哈希值得到的。用户可通过对比下载的 APK 包的 SHA256 值与官方给出的 SHA256 值，验证文件内容是否被篡改。

SHA256 算法，对比市面上常见的 MD5 算法，计算耗时更长，但是更安全。

PGP 是什么

PGP （Pretty Good Privacy）是一种更高级别的加密签名方案，可以用来做完整性验证与可信来源验证。PGP 加密先通过 RSA 算法计算出 APK 的文件摘要，然后使用 TronLink 官方持有的私钥（存储在硬件中）加密该文件摘要来创建签名文件。

用户后续可通过 PGP 公钥服务器导入 TronLink PGP 公钥，然后使用此公钥及签名文件进行解密，并对比用户本地的 APK 对应的文件摘要，如果两者一致，则说明此APK是完整的，从而保证APK没有被篡改；同时也证明了此 APK 是 TronLink 官方发布的 APK（他人无法获取 TronLink 官方的私钥来对 APK 的文件摘要进行签名）。

签名文件是什么

PGP 验证方法中使用到的签名文件，指的是使用 PGP 加密方法，先通过 RSA 算法计算 APK 的文件摘要，然后使用 TronLink 官方的私钥（存储在硬件中）加密该文件摘要来创建的一个加密文件。主要用来验证 APK 包是否为官方发布的 APK。

官网 APK 包的 SHA256 值及签名文件

如何进行 SHA256 验证

在线工具计算 SHA256 值

1.将 TronLink APK 包下载到电脑；

2.打开网站：https://oktools.net/file-hash 注：这是一个计算文件 SHA256 值的工具网站；

3.将应用安装包上传到该网站，获取安装包文件 SHA256 值。如下图，在绿色区域下方确认已勾选 SHA256，并将安装包拖拽到下图的绿色区域：

4.将获取到的 SHA256 值与文档上方「官方钱包的 SHA256 值及签名文件」表中的SHA256 值校对，如果一致，则说明是正版；反之则说明是假冒安装包，请立即停止使用该应用，再通过官网：https://tronlink.org 下载正版 Tronlink 并转移资产。

MacOS 获取 SHA256 值步骤

1.将 TronLink APK 包放在系统桌面；

2.打开终端（默认路径：启动台 - 其它 - 终端）并输入 cd desktop/，按「回车键」确认；

3.输入 shasum -a 256 安装包的文件名，按「回车键」确认，即可获取安装包的 SHA256 值；

4.将获取到的 SHA256 值与文档上方「官方钱包的 SHA256 值及签名文件」表中的SHA256 值校对，如果一致，则说明是正版；反之说明是假冒安装包，请立即停止使用该应用，再通过官网：https://tronlink.org 下载正版 Tronlink 并转移资产。

Windows 获取 SHA256 值步骤

1.将下载的 TronLink 安装包放在系统桌面；

2.打开命令行工具（Win 键 + R，输入 CMD，回车）并输入 cd desktop/，按「回车键」确认；

3.输入 certUtil -hashfile 安装包的文件名 SHA256，按「回车键」确认，获取安装包文件 SHA256 值；

4.将获取到的 SHA256 值与文档上方「官方钱包的 SHA256 值及签名文件」表中的SHA256 值校对，如果一致，则说明是正版；反之说明是假冒安装包，请立即停止使用该应用，再通过官网：https://tronlink.org 下载正版 Tronlink 并转移资产。

如何进行 PGP 验证

1.安装相关客户端 ：

方法一：安装 GPG Suite：https://gpgtools.org/ （推荐非开发者用户使用）

方法二：下载安装 GnuPG（简称GPG） 源码：https://gnupg.org/download/index.html

进入源码目录，执行: ./configure & make install (可按照提示下载依赖包)

方法三：下载 GnuPG 对应平台的安装包：https://gnupg.org/download/index.html

如Mac OS：GnuPG for OS X

安装成功之后，在终端/命令行（具体打开教程在 SHA256 教程中已撰写，不再赘述）下执行gpg --help, 显示版本信息，则代表安装成功。

2.导入 TronLink PGP 公钥

方法一：使用 GPG Keychain 管理软件（安装GPG Suite 时，自带该软件），点击“查找公钥”，输入公钥：7B910EA80207596075E6D7BA5D34F7A6550473BA，将搜索到的公钥导入即可；

方法二：终端/命令行窗口, 输入: gpg --recv-keys 7B910EA80207596075E6D7BA5D34F7A6550473BA 将会自动导入公钥。

3.下载 TronLink APK 以及对应版本的 PGP 签名文件（最新版本可在官网下载），并放在系统桌面；

4.进行验证：

*验证完整性，非常重要，推荐每次下载完成，安装之前都要验证下载文件的完整性。

（1）终端/命令行窗口, 输入 cd desktop/，按「回车键」确认；

（2）输入：gpg --verify 安装包的签名文件名 安装包的文件名，按「回车键」确认。

如输出：gpg: Good signature（或者完整性签名），则说明是正版；反之说明是假冒安装包，请立即停止使用该应用，再通过官网：https://tronlink.org 下载正版 Tronlink 并转移资产。