可以在我们的文档发布通道和签名密钥中了解详细内容。为了方便非技术人员理解,简单步骤如下:
- 下载 https://f-droid.org/F-Droid.apk.asc 和 https://f-droid.org/F-Droid.apk
- 加载
admin@f-droid.org的公钥 - 将指纹与上面提到的文档中所声明的比较
- 验证文件
在 Linux 上,它看起来是这样:
# 下载文件
wget -q https://f-droid.org/F-Droid.apk.asc
wget -q https://f-droid.org/F-Droid.apk
# 加载公钥
gpg --keyserver keyserver.ubuntu.com --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89
#验证文件
gpg --verify F-Droid.apk.asc F-Droid.apk
最后一个命令的预期输出应当看起来是:
gpg: 签名建立于 2021年08月09日 星期一 11时17分55秒 CEST
gpg: 使用 RSA 密钥 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: 完好的签名,来自于 “F-Droid <admin@f-droid.org>” [未知]
gpg: 警告:此密钥未被受信任签名认证!
gpg: 没有证据表明此签名属于其声称的所有者。
主密钥指纹: 37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
子密钥指纹: 802A 9799 0161 1234 6E1F EFF4 7A02 9E54 DD5D CE7A
更新客户端 APK 时,日期会发生变化,变化后的日期如果比之前的要新是正常的。可以忽略公钥未被受信任签名认证的警告。重要的是良好签名的标示,及其指纹和用于下载公钥的指纹相同:
37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
