当 F-Droid 安装后，它为你想要安装的应用提供了一个强大，可信任的通道。理想情况下，F-Droid 预装在你的设备中，如 CalyxOS，LineageOS-for-microG 或 DivestOS。那样就会有一个经过验证的 F-Droid 版本准备就绪，随时可用。

我们努力使 f-droid.org 网站尽可能坚固，为首次安装者下载 F-Droid.apk 提供一个可信任的通道。例如，我们最近为 f-droid.org 域名部署了域名系统安全扩展 (DNSSEC) 和 DNS 证书权威授权 (CAA) 保护。

如果用户已经知道了 f-droid.org 域名，或一个可信源告诉他们 f-droid.org 是正确的域名，那么他们可以直接从这个网站获取正确的 F-Droid.apk。不幸的是，在网络上有无数种方法欺骗用户让他们相信他们在浏览正确的网站。这通常被称为“钓鱼”。例如，https://f-droid.org/de/ 是这个网站的德语版，但 https://f-droid.org.de/ 拥有 org.de 域名的其它人控制的站点。或某个未知拥有者从 2015 年起就控制了 f-droid.cn。我们尚未见到这个域名上的任何活动，但它仍有可能被用于误导用户。我们定期购买可能使用户感到困惑的域名以防止它们被滥用。但很不幸仅仅这样是不够的（注：我们很愿意购买这个域名，如果你能帮助我们找到它的拥有者请告诉我们）。

这个问题促使我们寻找其它“信任根”。当用户知道并信任一个通道，他们可以用它获取并验证 F-Droid.apk。对于 GNU/Linux 发行版如 Debian，内置的包管理器提供了一个强信任锚点。对于其它系统，有附加的包管理器，如 macOS 的 Homebrew。所以我们开发了新的 fdroid made 命令以利用这些信任锚点。如果你已经信任你的包管理器，并且它有 fdroidserver v2.3.0 或更新版本（例如 apt-get install fdroidserver，那么你可以安装它，运行 fdroid install，将密码学验证的 F-Droid.apk 安装到你的设备上。

在此之上，fdroid install 将自动尝试从一系列内置镜像下载。因此使用 fdroid install 比从网站下载 F-Droid.apk 更可靠。若想获得额外的隐私，请使用 fdroid install --privacy-mode，它会避免从 https://f-droid.org 下载，而是从托管了其它类型软件的镜像下载。任何网络观察者都无法看到你从这个镜像下载的是什么软件。下载流量的可见部分不会显示你正在下载与 F-Droid 有关的内容。需要注意的是镜像运营者可以看到你正在下载 F-Droid.apk。

本文写作时，这是一些需要的 fdroidserver 版本的来源：

• Debian/trixie 和 Ubuntu/plucky：apt-get install fdroidserver
• Debian/bookworm-backports：apt-get install fdroidserver/bookworm-backports
• Homebrew：brew install fdroidserver
• Python pip：pip install fdroidserver
• 我们的 Ubuntu PPA