Die APK-Dateien zur Installation von Threema für Android sind von Threema kryptografisch signiert. Android stellt sicher, dass nur Updates installiert werden können, die mit demselben Schlüssel wie die bereits installierte App signiert wurden. So ist sichergestellt, dass keine manipulierten Updates installiert werden können.
Wenn Sie auch die Erstinstallation verifizieren möchten, müssen Sie den Public Key Hash oder den Certificate Hash mit apksigner prüfen:
$ANDROID_SDK/build-tools/$BUILD_TOOLS_VERSION/apksigner verify --print-certs -v $APK_FILE
Threema verwendet folgende Public Keys und Zertifikate:
Certificate digest (SHA256):d78daf9601c1b4686f126436b2432b84e7bbc42b3a87381abafac961ac7133ad
Public key digest (SHA256):269d600e1ce7e0a7ffddb18fb92251092938f5be38ea1113e29213564b32cb44
Certificate digest (SHA256):0508b53ff102b538919c834e9e6b6afba046edf67e17ca4d1ce7a4b9c3823741
Public key digest (SHA256):8042eee413093ad651a391da2ac5799ae1744a09fb44056d1fc2f1911a052e39
