Verificando el F-Droid.apk descargado

Algunos detalles en esto pueden encontrarse en nuestra documentación en Canales de Lanzamiento y Claves de Firmado. Para hacerlo más fácil de entender para los que no son desarrolladores, aquí están los pasos en breve:

En Linux, así es cómo se vería:

# descargar los archivos
wget -q https://f-droid.org/F-Droid.apk.asc
wget -q https://f-droid.org/F-Droid.apk
# cargar la clave pública
gpg --keyserver keyserver.ubuntu.com --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89
# verificar el archivo
gpg --verify F-Droid.apk.asc F-Droid.apk

La salida esperada del último comando debería verse como la siguiente:

gpg: Signature made Mon 09 Aug 2021 11:17:55 PM CEST
gpg:                using RSA key 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Good signature from "F-Droid <admin@f-droid.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 37D2 C987 89D8 3119 4839  4E3E 41E7 044E 1DBA 2E89
     Subkey fingerprint: 802A 9799 0161 1234 6E1F  EFF4 7A02 9E54 DD5D CE7A

La fecha puede variar si el APK del cliente es actualizada, no es un problema si es nuevo. La advertencia (WARNING) sobre la clave no siendo certificada con una firma de confianza puede ser ignorada. La parte importante es la indicación de una buena clave y que tenga la misma huella de identificación que fue usada para descargar la llave:

37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89