Szczegółowe informacje na ten temat można znaleźć w naszej dokumentacji pod adresem Release Channels and Signing Keys. Aby było to łatwiejsze do zrozumienia dla osób niebędących deweloperami, oto kroki w skrócie:
- pobierz https://f-droid.org/F-Droid.apk.asc i https://f-droid.org/F-Droid.apk
- wczytaj klucz publiczny dla
admin@f-droid.org - porównaj odcisk palca z dokumentacją wspomnianą powyżej
- zweryfikuj plik
W systemie Linux wyglądałoby to następująco:
# pobierz pliki
wget -q https://f-droid.org/F-Droid.apk.asc
wget -q https://f-droid.org/F-Droid.apk
# wczytaj klucz publiczny
gpg --keyserver keyserver.ubuntu.com --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89
# sprawdź plik
gpg --verify F-Droid.apk.asc F-Droid.apk
Oczekiwany wynik ostatniego polecenia powinien wyglądać następująco:
gpg: Signature made Mon 09 Aug 2021 11:17:55 PM CEST
gpg: using RSA key 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Good signature from "F-Droid <admin@f-droid.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
Subkey fingerprint: 802A 9799 0161 1234 6E1F EFF4 7A02 9E54 DD5D CE7A
Dane będą się różnić w zależności od aktualizacji APK klienta, nie ma problemu, jeśli jest nowsza. Ostrzeżenie o tym, że klucz nie jest certyfikowany zaufanym podpisem, można zignorować. Ważną częścią jest wskazanie dobrego podpisu i tego, że ma ten sam odcisk palca, który został użyty do pobrania klucza:
37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
