Проверка загрузок

Android

Для Android вы можете проверить, что сертификат подписи на APK соответствует одному из следующих отпечатков SHA256:

Для загрузок с F-Droid:
9D:B6:67:8E:D7:4C:88:12:4B:82:5E:8F:90:50:2B:76 CD:97:C5:EC:CC:9A:A9:2F:40:33:02:71:02:D9:AA:9D
Для других загрузок APK:
35:5B:E2:C3:8E:C6:73:83:C1:02:FB:E0:3E:84:C4:BC 3E:6F:89:06:F8:D3:66:91:4F:84:52:82:08:13:2A:EE

Чтобы вывести отпечатки SHA256 сертификата подписи APK, можно использовать, например:
keytool -printcert -jarfile <APK-file>

Компьютер

Откройте терминал и измените папку на файл, который вы хотите проверить, например.
deltachat-desktop_<VERSION>_amd64.deb.
Загрузите подписанные контрольные суммы и импортируйте ключ;. <VERSION> необходимо заменить на номер версии, например 2.33.0.
```
wget https://download.delta.chat/desktop/v<VERSION>/signed-checksums.txt
wget https://delta.chat/assets/deltachat_certificate.asc.txt
gpg --import deltachat_certificate.asc.txt
```
Ключ также доступен по адресу keys.openpgp.org
Проверьте и сравните результаты.
```
gpg --decrypt signed-checksums.txt | shasum -a 512 --ignore-missing -c -
```
Ожидаемый результат:

``` gpg: Хорошая подпись от “deltachat-signing@merlinux.eu” [неизвестно] gpg: ПРЕДУПРЕЖДЕНИЕ: Этот ключ не сертифицирован доверенной подписью! gpg: Нет никаких указаний на то, что подпись принадлежит владельцу. Отпечаток первичного ключа: 63CD 1F81 5BA5 6051 8376 999C 626E 26C8 1695 1308

: OK ``` Убедитесь, что отпечаток ключа совпадает и что файл, который вы хотите проверить, указан в списке. Предупреждение является нормальным, поскольку вы явно не подтвердили доверие к ключу. Если gpg не работает в вашей системе, вы можете использовать `cat signed-checksums.txt | rsop inline-verify deltachat_certificate.asc.txt` или `cat signed-checksums.txt | grep deltachat | shasum -a 512 --ignore-missing -c -` -. обратите внимание, что последняя команда проверяет целостность, а _не_ ключ разработчика.