التحقق من ملف F-Droid.apk الذي نُزّل

يمكن العثور على بعض التفاصيل حول هذا في وثائقنا على قنوات الإصدار ومفاتيح التوقيع. لجعل الأمر أسهل للفهم لغير المطورين، إليك الخطوات باختصار:

على لينكس، هذا ما سيبدو عليه:

# نزّل الملفات
wget -q https://f-droid.org/F-Droid.apk.asc
wget -q https://f-droid.org/F-Droid.apk
# حمّل المفتاح العام
gpg --keyserver keyserver.ubuntu.com --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89
# تحقق من الملف
gpg --verify F-Droid.apk.asc F-Droid.apk

يجب أن يبدو الخرج المتوقع للأمر الأخير كالتالي:

gpg: Signature made Mon 09 Aug 2021 11:17:55 PM CEST
gpg:                using RSA key 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Good signature from "F-Droid <admin@f-droid.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 37D2 C987 89D8 3119 4839  4E3E 41E7 044E 1DBA 2E89
     Subkey fingerprint: 802A 9799 0161 1234 6E1F  EFF4 7A02 9E54 DD5D CE7A

سيختلف التاريخ مع تحديث ملف APK الخاص بالعميل، ولا توجد مشكلة إذا كان أحدث. يمكن تجاهل التحذير بشأن أن المفتاح غير معتمد بتوقيع موثوق. الجزء المهم هو وجود إشارة إلى توقيع صالح وأن له نفس البصمة التي استخدُمت لتنزيل المفتاح:

37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89