私はインターネット経由で新しいバージョンのアプリケーションをダウンロードできる統合アップデーターを持つデスクトップアプリケーションの著者です。ダウンロードしたファイルを認証して、新しいファイルが作成されたことをダウンローダが確認できるようにしたいと思います。 SSLベースのサーバー認証はオプションではありません。なぜなら、ファイルはサードパーティのサービスでホストされているからです。カスタムQtベースのアップデータのダウンロード
私は、次の手順を考えています
- ハッシュSHA512
- 暗号化秘密鍵RSA
- を使用して、ハッシュ暗号化されたハッシュを公開してくださいを使用してダウンロード:私の側に
新しいバージョン発表と一緒に
クライアントのアップデータは、 nは、以下のん:
- ファイル(当たり前)をダウンロード
- は、私のプライベート1
- は本物の1で復号化されたハッシュを比較一致ハードコードされた公開鍵を使用して、新しいアップデートの発表からハッシュを復号化ダウンロードしたファイル
私は当初、クライアントに公開鍵を持つアップデータの無修正バージョンを配布できると仮定して、このワークフローに欠陥がありますか?