ダウンロードしたF-Droid.apkの検証

これに関する詳細の一部は、リリースチャンネルと署名鍵のドキュメントで確認できます。開発者でない人にも理解しやすいように、手順を簡単にまとめると次のようになります:

Linuxでは、次のようになります:

# ファイルをダウンロード
wget -q https://f-droid.org/F-Droid.apk.asc
wget -q https://f-droid.org/F-Droid.apk
# 公開鍵を読み込む
gpg --keyserver keyserver.ubuntu.com --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89
# ファイルを検証
gpg --verify F-Droid.apk.asc F-Droid.apk

最後のコマンドの想定される出力は、次のようになります:

gpg: Signature made Mon 09 Aug 2021 11:17:55 PM CEST
gpg:                using RSA key 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Good signature from "F-Droid <admin@f-droid.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 37D2 C987 89D8 3119 4839  4E3E 41E7 044E 1DBA 2E89
     Subkey fingerprint: 802A 9799 0161 1234 6E1F  EFF4 7A02 9E54 DD5D CE7A

クライアントAPKが更新されると日付は変わるため、新しくなっていても問題ありません。鍵が信頼された署名で認証されていないという警告は無視できます。重要なのは、正しい署名であることが示されていることと、鍵のダウンロードに使用したものと同じフィンガープリントであることです:

37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89