Verificar Descargas

Android

En Android, podes verificar que o certificado da sinatura no APK concorda cunha de estas impresións dixitais SHA256:

• Nas descargas en F-Droid: 9D:B6:67:8E:D7:4C:88:12:4B:82:5E:8F:90:50:2B:76 CD:97:C5:EC:CC:9A:A9:2F:40:33:02:71:02:D9:AA:9D

• Outras descargas APK: 35:5B:E2:C3:8E:C6:73:83:C1:02:FB:E0:3E:84:C4:BC 3E:6F:89:06:F8:D3:66:91:4F:84:52:82:08:13:2A:EE

Para mostrar a impresión dixital SHA256 do certificado de sinatura do APK podes utilizar keytool -printcert -jarfile <APK-file>

Escritorio

1. Abre o terminal e cambia de directorio ao ficheiro que queres verificar, por exemplo. deltachat-desktop_<VERSION>_amd64.deb

2. Descargar a suma de comprobación asinadas e importar clave; <VERSION> debe ser substituído polo número de versión, por exemplo, 2.33.0

wget https://download.delta.chat/desktop/v<VERSION>/signed-checksums.txt
wget https://delta.chat/assets/deltachat_certificate.asc.txt
gpg --importar deltachat_certificate.asc.txt

A clave tamén está dispoñible en keys.openpgp.org

1. Verificar e comprobar os resultados

gpg --descifrar sumas-de-comprobación-asinadas.txt | shasum -a 512 --ignorar-falta -c -

Saída esperada:

gpg: Sinatura correcta de "deltachat-signing@merlinux.eu" [descoñecido]
gpg: AVISO: Esta chave non está certificada cunha sinatura de confianza!
gpg: Non hai ningunha indicación de que a sinatura pertenza ao propietario.
Pegada dixital da clave primaria: 63CD 1F81 5BA5 6051 8376 999C 626E 26C8 1695 1308
<FILE>:OK

Asegúrate de que a pegada coincida e de que o ficheiro que queres verificar figure na lista. A advertencia é normal xa que non confiaches explicitamente na chave.

Se gpg está roto no teu sistema, podes usar cat signed-checksums.txt | rsop inline-verify deltachat_certificate.asc.txt ou cat signed-checksums.txt | grep deltachat | shasum -a 512 --ignore-missing -c - - ten en conta que o último comproba a integridade pero non a chave do desenvolvedor.