Downloads verifiëren

Android

Bij de Android-versie kun je het APK-certificaat verifiëren middels één van de volgende SHA256-vingerafdrukken:

• Voor F-Droid-downloads: 9D:B6:67:8E:D7:4C:88:12:4B:82:5E:8F:90:50:2B:76 CD:97:C5:EC:CC:9A:A9:2F:40:33:02:71:02:D9:AA:9D

• Voor overige APK-downloads:
  35:5B:E2:C3:8E:C6:73:83:C1:02:FB:E0:3E:84:C4:BC 3E:6F:89:06:F8:D3:66:91:4F:84:52:82:08:13:2A:EE

Om de SHA256-vingerafdrukken van het APK-certificaat te tonen, kun je bijv.
keytool -printcert -jarfile <APK-file>
gebruiken.

Computer

1. Open een terminalvester, verander de map in die waar het te verifiëren bestand staat, bijv.
   deltachat-desktop_<VERSION>_amd64.deb

2. Download de controlesommen en importsleutel; <VERSION> dient te worden vervangen door het versienummer, bijv. 2.33.0

   wget https://download.delta.chat/desktop/v<VERSION>/signed-checksums.txt
   wget https://delta.chat/assets/deltachat_certificate.asc.txt
   gpg --import deltachat_certificate.asc.txt
   

   De openbare sleutel is tevens beschikbaar op keys.openpgp.org

3. Verifieer en controleer de resultaten

   gpg --decrypt signed-checksums.txt | shasum -a 512 --ignore-missing -c -
   

   Verwachte uitvoer:

   gpg: Good signature from "deltachat-signing@merlinux.eu" [unknown]
   gpg: WARNING: This key is not certified with a trusted signature!
   gpg:          There is no indication that the signature belongs to the owner.
   Primary key fingerprint: 63CD 1F81 5BA5 6051 8376 999C 626E 26C8 1695 1308
   <FILE>: OK
   

   Ga na of de vingerafdruk overeenkomt en dat het te verifiëren bestand vermeld is. De waarschuwing kan worden genegeerd, daar je de sleutel nog niet als vertrouwelijk hebt aangemerkt.

Als gpg niet naar behoren werkt, kun je deze opdracht gebruiken:
cat signed-checksums.txt | rsop inline-verify deltachat_certificate.asc.txt or
cat signed-checksums.txt | grep deltachat | shasum -a 512 --ignore-missing -c - - Maar let op: hierdoor wordt alléén de integriteit gecontroleerd, dus niet de ontwikkelaarssleutel.