F-Droid Hash passt nicht zum Download

Hallo zusammen,

ich wollte mir F-Droid downloade und den Hash prüfen, der steht auf dieser Seite:
https://f-droid.org/de/docs/Release_Channels_and_Signing_Keys/

Die *.apk habe ich von hier bezogen: https://f-droid.org/de/

Mit GtkHash habe ich die Prüfsumme berechnet. Sie passt leider nicht zu der von der Website.
Habe ich etwas falsch gemacht oder passt die bei euch euch nicht?

Ich bin nach dieser Anleitung vorgegangen → Verifizierung der heruntergeladenen F-Droid.apk

Das hat genauso funktioniert wie dort beschrieben.

1 „Gefällt mir“

Um den Fehler noch klar zu benennen: Auf der Seite stehen keine Hashes der Dateien. Dort stehen Fingerprints der GPG-Schlüssel*. Mit den Fingerprints importierst du dir die Schlüssel. Anschließend lädst du sowohl die App als auch die Signatur herunter. Mit dem Schlüssel verifizierst du nun, ob die Signatur zu der Datei (App) passt. GPG wird dir ausgeben, ob beides zusammenpasst, du musst nicht mehr vergleichen. Siehe obige Anleitung.

*⁾Da wird auch etwas gehasht. Aber eben nicht die Datei/App von der Website.

3 „Gefällt mir“


Da habe ich wohl die falschen Hashes abgeglichen, habe den SHA256 bei dem langen roten Pfeil mit dem der Fdroid.apk verglichen

ohne genau zu wissen, was ich da genau mache, habe ich jetzt die Befehle auf der Website kopiert, aber auch das funktioniert leider nicht, siehe Screenshot

Da hat der Keyserver von Ubuntu bei dir einen Fehler geworfen. Eventuell klappt es, wenn du es nochmal probierst - da die Weboberfläche dort bei mir gerade funktioniert.
Ansonsten probier mal diesen Keyserver:
gpg --keyserver keys.openpgp.org --recv-key 37D2C98789D8311948394E3E41E7044E1DBA2E89

K.A. warum die bei F-Droid kein WKD anbieten.

Die SHA256 Summe die du vorher gefunden hast, ist die vom Zertifikat mit dem die APK signiert wurde… Android Kram. Könntest du auch verwenden, aber benötigt andere Tools und ist noch eine Ecke komplexer. Bleib bei GPG. :slight_smile:

1 „Gefällt mir“

Danke, jetzt hat es funktioniert