F-Droid Store download Signatur

Liebe Forenmitglieder,

was bedeutet der Button PGP Signatur unter dem Link zum Download der App auf der Startseite von F-Droid.org?
Mich interessiert das schon eine ganze Zeit, denn eigentlich dachte ich, dass ich mit der Signatur von der Homepage prüfen könnte, ob die App auf meinem PC so angekommen ist, wie sie an mich “gesendet” wurde.
Nur verstehe ich in diesem Fall nicht, wie ich es übeeprüfen kann z. B. mit GnuPG.
Habt ihr eine Idee?

Viele Grüße,
discoverer

Du brauchst erst mal den Public Key… Den Hash Wert des keys findest du hier https://f-droid.org/en/docs/Release_Channels_and_Signing_Keys/ . Dann kannst du ihn mit

gpg --receive-keys '37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89'

runterladen. Der kommt von einem oeffentlichen Keyserver. Da er ist durch den Hash Wert verifiziert.

Dann lade die die APK und die Signatur ASC in das selbe Verzeichnis und mache

gpg --verify FDroid.apk.asc FDroid.apk

Dann siehst du eine erfolgsmeldung dass die Sgnatur korrekt ist.

Wahrscheinlich siehst du dann noch eine Warnung wie

gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.

Stelle dann einfach nochmal sicher dass der Hashwert den du darunter siehst genau der gleiche ist wie aber der Webseite die oben verlinkt ist.

1 Like

Hey thingy,

schonmal vielen vielen Dank :slight_smile:
Deine Antwort hilft mir sehr.
Ich werde mich die Tage daran machen und die Überprüfung ausprobieren.

Viele Grüße,
discoverer

This topic was automatically closed 60 days after the last reply. New replies are no longer allowed.

Mastodon