Verificare fișierului F-Droid.apk descărcat

Unele detalii în acest sens pot fi găsite în documentația noastră la Release Channels and Signing Keys. Pentru a fi mai ușor de înțeles pentru cei care nu sunt dezvoltatori, iată pașii pe scurt:

Pe Linux, acesta este modul în care ar arăta:

# descărcați fișierele
wget -q https://f-droid.org/F-Droid.apk.asc
wget -q https://f-droid.org/F-Droid.apk
# încărcați cheia publică
gpg --keyserver keyserver.ubuntu.com --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89
# verificați fișierul
gpg --verify F-Droid.apk.asc F-Droid.apk

Rezultatul așteptat al ultimei comenzi ar trebui să arate astfel:

gpg: Semnătură făcută Lu 09 Aug 2021 12:17:55 +0300 EEST
gpg:                folosind cheia RSA 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Semnătură bună din "F-Droid <admin@f-droid.org>" [necunoscut]
gpg: AVERTISMENT: Această cheie nu este certificată de o semnătură de încredere!
gpg:          Nu există nici o indicație că semnătura aparține proprietarului.
Amprentă cheie primară: 37D2 C987 89D8 3119 4839  4E3E 41E7 044E 1DBA 2E89
     Amprentă subcheie: 802A 9799 0161 1234 6E1F  EFF4 7A02 9E54 DD5D CE7A

Data va varia pe măsură ce fișierul APK al clientului este actualizat, nu este o problemă dacă este mai nouă. Avertismentul privind faptul că acestă cheie nu este certificată cu o semnătură de încredere poate fi ignorat. Partea importantă este indicarea unei semnături bune și faptul că aceasta are aceeași amprentă digitală precum cea care a fost utilizată pentru a descărca cheia:

37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89