doc/integrity.texi

   1 @node Integrity
   2 @section Tarballs integrity check
   3
   4 You @strong{have to} check downloaded archives integrity and verify
   5 their signature to be sure that you have got trusted, untampered
   6 software. For integrity and authentication of downloaded binaries
   7 @url{https://www.gnupg.org/, GNU Privacy Guard} is used. You must
   8 download signature (@file{.sig}) provided with the tarball.
   9
  10 For the very first time you need to import signing public key. It is
  11 provided below, but it is better to check alternative resources with it.
  12
  13 @verbatim
  14 pub   rsa2048/0x2B25868E75A1A953 2017-01-10
  15       92C2 F0AE FE73 208E 46BF  F3DE 2B25 868E 75A1 A953
  16 uid   NNCP releases <releases at nncpgo dot org>
  17 @end verbatim
  18
  19 @itemize
  20
  21 @item
  22 @example
  23 $ gpg --auto-key-locate dane --locate-keys releases at nncpgo dot org
  24 $ gpg --auto-key-locate wkd --locate-keys releases at nncpgo dot org
  25 @end example
  26
  27 @item
  28 @verbatiminclude .well-known/openpgpkey/nncpgo.org/hu/i4cdqgcarfjdjnba6y4jnf498asg8c6p.asc
  29
  30 @end itemize
  31
  32 Then you could verify tarballs signature:
  33
  34 @example
  35 $ gpg --verify nncp-@value{VERSION}.tar.xz.sig nncp-@value{VERSION}.tar.xz
  36 @end example