Перевірка завантажених файлів
Android
Для Android Ви можете перевірити автентичність, порівнявши відбитки сертифікату SHA256 інсталяційного файлу APK з наступними контрольними сумами:
-
Для завантажень з F-Droid:
9D:B6:67:8E:D7:4C:88:12:4B:82:5E:8F:90:50:2B:76 CD:97:C5:EC:CC:9A:A9:2F:40:33:02:71:02:D9:AA:9D -
Інші завантаження APK:
35:5B:E2:C3:8E:C6:73:83:C1:02:FB:E0:3E:84:C4:BC 3E:6F:89:06:F8:D3:66:91:4F:84:52:82:08:13:2A:EE
Ви можете подивитися відбиток сертифікату SHA256, яким підписано інсталяційний файл APK, за допомогою команди
keytool -printcert -jarfile <APK-file>
Комп’ютер
-
Відкрийте ваш термінал і перейдіть до каталогу, де знаходиться файл, який потрібно перевірити, наприклад:
deltachat-desktop_<VERSION>_amd64.deb -
Завантажте підписані контрольні суми та ключ імпорту;
<VERSION>потрібно замінити на номер версії, наприклад2.33.0wget https://download.delta.chat/desktop/v<VERSION>/signed-checksums.txt wget https://delta.chat/assets/deltachat_certificate.asc.txt gpg --import deltachat_certificate.asc.txtЦей ключ також доступний за адресою keys.openpgp.org
-
Перевірка та аналіз результатів
gpg --decrypt signed-checksums.txt | shasum -a 512 --ignore-missing -c -Очікуваний вивід:
gpg: Good signature from "deltachat-signing@merlinux.eu" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 63CD 1F81 5BA5 6051 8376 999C 626E 26C8 1695 1308 <FILE>: OKПереконайтеся, що відбиток збігається і що файл, який ви хочете перевірити, є у списку. Це попередження є нормальним, оскільки ви ще не підтвердили довіру до цього ключа.
Якщо у вашій системі не працює gpg, ви можете скористатися командою
cat signed-checksums.txt | rsop inline-verify deltachat_certificate.asc.txt або
cat signed-checksums.txt | grep deltachat | shasum -a 512 --ignore-missing -c - -
зверніть увагу, що останнє перевіряє цілісність, але не ключ розробника.