Cómo verificar la huella dactilar SHA256 de APK

Te has perdido una palabra clave en la página de descarga:

  

Puede verificar que el certificado de firma en el APK coincida con esta huella dactilar SHA256

(énfasis mío)

Los archivos APK son solo archivos ZIP en realidad, así que ábralos con la herramienta de archivo que desee (uso 7zip) y extraiga META-INF\CERT.RSA de ellos. A continuación, puede verificar que la huella digital del certificado coincida con lo que está escrito en el sitio. ¡Tenga en cuenta que esto tampoco es el hash de todo el certificado! Deberá usar keytool para verificarlo.

El binario keytool se incluye en el JDK de Java (generalmente en el directorio %ProgramFiles%\Java\jdk_<version>\bin\ ), y se puede usar de la siguiente manera:

keytool -printcert -file X:\Path\To\CERT.RSA

La salida se ve así:

Owner: CN=Whisper Systems, OU=Research and Development, O=Whisper Systems, L=Pittsburgh, ST=PA, C=US
Issuer: CN=Whisper Systems, OU=Research and Development, O=Whisper Systems, L=Pittsburgh, ST=PA, C=US
Serial number: 4bfbebba
Valid from: Tue May 25 16:24:42 BST 2010 until: Tue May 16 16:24:42 BST 2045
Certificate fingerprints:
         MD5:  D9:0D:B3:64:E3:2F:A3:A7:BD:A4:C2:90:FB:65:E3:10
         SHA1: 45:98:9D:C9:AD:87:28:C2:AA:9A:82:FA:55:50:3E:34:A8:87:93:74
         SHA256: 29:F3:4E:5F:27:F2:11:B4:24:BC:5B:F9:D6:71:62:C0:EA:FB:A2:DA:35:AF:35:C1:64:16:FC:44:62:76:BA:26
         Signature algorithm name: SHA1withRSA
         Version: 3

Puede ver que la huella digital SHA256 coincide con lo que vimos en el sitio.

Una vez que hayas verificado esto, puedes seguir adelante e instalar el APK en tu dispositivo Android. Ya que ha verificado que el certificado de firma dentro del APK coincide con el que Signal espera que vea, puede confiar en el sistema operativo Android para validar que el APK está correctamente firmado, no le permitirá cargarlo de otra manera .