]> Cypherpunks.ru repositories - nncp.git/blob - doc/integrity.texi
174c27c6c458534a812cfbd44ced148b6d63f49e
[nncp.git] / doc / integrity.texi
1 @node Integrity
2 @section Tarballs integrity check
3
4 You @strong{have to} check downloaded archives integrity and verify
5 their signature to be sure that you have got trusted, untampered
6 software. For integrity and authentication of downloaded binaries
7 @url{https://www.gnupg.org/, The GNU Privacy Guard} is used. You must
8 download signature (@file{.sig}) provided with the tarball.
9
10 For the very first time you need to import signing public key. It is
11 provided below, but it is better to check alternative resources with it.
12
13 @verbatim
14 pub   rsa2048/0x2B25868E75A1A953 2017-01-10
15       92C2 F0AE FE73 208E 46BF  F3DE 2B25 868E 75A1 A953
16 uid   NNCP releases <releases at nncpgo dot org>
17 @end verbatim
18
19 @itemize
20
21 @item
22 @verbatim
23 % gpg --keyserver hkp://keys.gnupg.net/ --recv-keys 0x2B25868E75A1A953
24 % gpg --auto-key-locate dane --locate-keys releases at nncpgo dot org
25 % gpg --auto-key-locate wkd --locate-keys releases at nncpgo dot org
26 % gpg --auto-key-locate pka --locate-keys releases at nncpgo dot org
27 @end verbatim
28
29 @item
30 @verbatiminclude .well-known/openpgpkey/hu/i4cdqgcarfjdjnba6y4jnf498asg8c6p.asc
31
32 @end itemize
33
34 Then you could verify tarballs signature:
35 @verbatim
36 % gpg --verify nncp-3.0.tar.xz.sig nncp-3.0.tar.xz
37 @end verbatim