Algunos detalles en esto pueden encontrarse en nuestra documentación en Canales de Lanzamiento y Claves de Firmado. Para hacerlo más fácil de entender para los que no son desarrolladores, aquí están los pasos en breve:
- descarga https://f-droid.org/F-Droid.apk.asc y https://f-droid.org/F-Droid.apk
- carga la clave pública de
admin@f-droid.org - compara la huella de identificación con lo que la documentación mencionada abajo mencione
- verifica el archivo
En Linux, así es cómo se vería:
# descargar los archivos
wget -q https://f-droid.org/F-Droid.apk.asc
wget -q https://f-droid.org/F-Droid.apk
# cargar la clave pública
gpg --keyserver keyserver.ubuntu.com --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89
# verificar el archivo
gpg --verify F-Droid.apk.asc F-Droid.apk
La salida esperada del último comando debería verse como la siguiente:
gpg: Signature made Mon 09 Aug 2021 11:17:55 PM CEST
gpg: using RSA key 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Good signature from "F-Droid <admin@f-droid.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
Subkey fingerprint: 802A 9799 0161 1234 6E1F EFF4 7A02 9E54 DD5D CE7A
La fecha puede variar si el APK del cliente es actualizada, no es un problema si es nuevo. La advertencia (WARNING) sobre la clave no siendo certificada con una firma de confianza puede ser ignorada. La parte importante es la indicación de una buena clave y que tenga la misma huella de identificación que fue usada para descargar la llave:
37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
