S'està verificant el F-Droid.apk baixat

Alguns detalls d’això es poden trobar a la nostra documentació a Canals de llançament i claus de signatura. Perquè sigui més fàcil d’entendre per als no-devs, aquí estan els passos en breu:

A Linux, això és el que semblaria:

# descarrega els fitxers
wget -q https://f-droid.org/F-Droid.apk.asc
wget -q https://f-droid.org/F-Droid.apk
# carrega les claus públiques
gpg --keyserver keyserver.ubuntu.com --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89
# verifica el fitxer
gpg --verify F-Droid.apk.asc F-Droid.apk

La sortida esperada de l’última ordre hauria de ser com:

gpg: Signature made Mon 09 Aug 2021 11:17:55 PM CEST
gpg:                using RSA key 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Good signature from "F-Droid <admin@f-droid.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 37D2 C987 89D8 3119 4839  4E3E 41E7 044E 1DBA 2E89
     Subkey fingerprint: 802A 9799 0161 1234 6E1F  EFF4 7A02 9E54 DD5D CE7A

La data variarà a mesura que s’actualitzi el client APK, no és un problema si és més recent. Es pot ignorar l’avís sobre que la clau no està certificada amb una signatura de confiança. La part important és la indicació d’una bona signatura i que té la mateixa empremta digital que es va utilitzar per descarregar la clau:

37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89