Weryfikacja pobranego pliku F-Droid.apk

Szczegółowe informacje na ten temat można znaleźć w naszej dokumentacji pod adresem Release Channels and Signing Keys. Aby było to łatwiejsze do zrozumienia dla osób niebędących deweloperami, oto kroki w skrócie:

W systemie Linux wyglądałoby to następująco:

# pobierz pliki
wget -q https://f-droid.org/F-Droid.apk.asc
wget -q https://f-droid.org/F-Droid.apk
# wczytaj klucz publiczny
gpg --keyserver keyserver.ubuntu.com --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89
# sprawdź plik
gpg --verify F-Droid.apk.asc F-Droid.apk

Oczekiwany wynik ostatniego polecenia powinien wyglądać następująco:

gpg: Signature made Mon 09 Aug 2021 11:17:55 PM CEST
gpg:                using RSA key 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Good signature from "F-Droid <admin@f-droid.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 37D2 C987 89D8 3119 4839  4E3E 41E7 044E 1DBA 2E89
     Subkey fingerprint: 802A 9799 0161 1234 6E1F  EFF4 7A02 9E54 DD5D CE7A

Dane będą się różnić w zależności od aktualizacji APK klienta, nie ma problemu, jeśli jest nowsza. Ostrzeżenie o tym, że klucz nie jest certyfikowany zaufanym podpisem, można zignorować. Ważną częścią jest wskazanie dobrego podpisu i tego, że ma ten sam odcisk palca, który został użyty do pobrania klucza:

37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89