Bestimmte Einzelheiten dazu findet man in unserer Dokumentation unter Bezugsquellen und Signaturen. Um es Nicht-Entwicklern leichter zu machen, hier eine kurze Schritt-für-Schritt-Anleitung:
- https://f-droid.org/F-Droid.apk.asc und https://f-droid.org/F-Droid.apk herunterladen
- Öffentlichen Schlüssel für
admin@f-droid.orgladen - den Fingerabdruck mit dem vergleichen, der in der oben erwähnten Dokumentation ausgewiesen ist
- Datei verifizieren
Auf Linux würde das folgendermaßen aussehen:
# Herunterladen der Dateien
wget -q https://f-droid.org/F-Droid.apk.asc
wget -q https://f-droid.org/F-Droid.apk
# öffentlichen Schlüssel laden
gpg --keyserver keyserver.ubuntu.com --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89
# Datei verifizieren
gpg --verify F-Droid.apk.asc F-Droid.apk
Die zu erwartende Ausgabe des letzten Befehls sollte so aussehen:
gpg: Signatur vom Sa 22 Jul 2023 13:48:28 CEST
gpg: mittels RSA-Schlüssel 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Korrekte Signatur von "F-Droid <admin@f-droid.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = 37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
Unter-Fingerabdruck = 802A 9799 0161 1234 6E1F EFF4 7A02 9E54 DD5D CE7A
Das Datum kann variieren, wenn das APK für den Client aktualisiert wird, es ist kein Problem, wenn es jünger ist. Die Warnung, dass der Schlüssel nicht durch eine vertrauenswürdige Signatur zertifiziert ist, kann ignoriert werden. Der wichtige Teil ist die Anzeige einer korrekten Signatur und dass er denselben Fingerabdruck besitzt, der beim Herunterladen des Schlüssels verwendet wurde:
37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
