doc/integrity.texi

   1 @node Integrity
   2 @cindex integrity check
   3 @cindex authenticity check
   4 @cindex OpenPGP
   5 @cindex gpg
   6 @cindex GnuPG
   7 @cindex WKD
   8 @section Tarballs integrity check
   9
  10 You @strong{have to} check downloaded archives integrity and verify
  11 their signature to be sure that you have got trusted, untampered
  12 software. For integrity and authentication of downloaded binaries
  13 @url{https://www.gnupg.org/, GNU Privacy Guard} is used. You must
  14 download signature (@file{.sig}) provided with the tarball.
  15
  16 For the very first time you need to import signing public key. It is
  17 provided below, but it is better to check alternative resources with it.
  18
  19 @verbatim
  20 pub   rsa2048/0x2B25868E75A1A953 2017-01-10
  21       92C2 F0AE FE73 208E 46BF  F3DE 2B25 868E 75A1 A953
  22 uid   NNCP releases <releases at nncpgo dot org>
  23 @end verbatim
  24
  25 @itemize
  26
  27 @item
  28 @example
  29 $ gpg --auto-key-locate dane --locate-keys releases at nncpgo dot org
  30 $ gpg --auto-key-locate wkd --locate-keys releases at nncpgo dot org
  31 @end example
  32
  33 @item
  34 @verbatiminclude .well-known/openpgpkey/nncpgo.org/hu/i4cdqgcarfjdjnba6y4jnf498asg8c6p.asc
  35
  36 @end itemize
  37
  38 Then you could verify tarballs signature:
  39
  40 @example
  41 $ gpg --verify nncp-@value{VERSION}.tar.xz.sig nncp-@value{VERSION}.tar.xz
  42 @end example