Persönlich würde Ich sagen: Ja.
Wobei Ich schon eine Weile lang den Neo Store aus ebenjenem Repository nutze.
Automatische Aktualisierungen funktionieren damit (wenn man sie aktiviert) meist ganz gut.
Im Kuketz-Blog gibt es dazu einen guten Beitrag:
Android: Kann man F-Droid vertrauen bzw. ist der App-Store sicher?
Bei F-Droid selbst, in den Allgemeinen FAQ, ist gerade der letzte Teil des verlinkten Abschnittes aber auch beachtenswert:
FAQ - Allgemein - Ist der Herstellungs- und Signiervorgang sicher?
Aus der Ecke um GrapheneOS (bzw. dessen Nutzerbasis) gibt es auch ein paar Stimmen, die F-Droid kritisieren. Einen Link habe Ich gerade aber leider nicht zur Hand.
Du kannst auf der Webseite von F-Droid neben den Download-Links für APKs (bei Anwendungen), und unter dem „F-Droid herunterladen“ Knopf auf der Hauptseite, eine PGP-Signatur herunterladen.
Diese kannst du mithilfe von beispielsweise GnuPG (kurz GPG) und den auf folgender Seite angegebenen Informationen über den „GPG-Signierschlüssel: „F-Droid <admin@f-droid.org>““, welchen du dir mit diesen Herunterladen musst, verifizieren.
Bezugsquellen und Signaturen: F-Droid-Client, App für Android: · offizielle binäre Veröffentlichungen
Ich denke aber nicht, dass das so sinnvoll ist, wenn du dir den Client nur einmal herunterlädst, und den Schlüssel gleichzeitig dazu - da sowohl der Fingerprint, mit dem du diesen Schlüssel verifizieren sollst, als auch die PGP Signaturen für die Programme vom selben Server stammen (bzw. von einen von Zwei, die ziemlich sicher gespiegelt sind).
Wenn du dir einfach nur den Client dort herunterlädst, musst du dem Server sowieso vertrauen - genauso, wenn du dir den Fingerprint für den PGP Schlüssel dort holst.
Das ergibt also nur nach dem „trust on first use“ (TOFU) Prinzip Sinn, nach diesem wüsstest du, wenn du irgendwann in Zukunft den Client dort erneut herunterlädst, ob dieser vom Schlüssel von Heute signiert wurde.
Wirkliche Gewissheit über die Authentizität hast du also nur, wenn du den Schlüssel von dem Betreiber persönlich erhältst, oder zumindest von jemandem den du vertrauen kannst (auf sichere Art und Weise).
Das ist auch nur für die Initiale Installation sinnvoll, oder wenn du keinen Client für F-Droid verwenden möchtest, und die APKs deswegen ständig von F-Droid.org herunterlädst - denn ansonsten wird die Authentizität der Apps auf andere Art und Weise sichergestellt.
Wenn du diese Signatur trotzdem verifizieren möchtest:
- APK und Signatur herunterladen
- „Primärer Key-Fingerprint:“ besorgen (siehe oben)
- Aus diesem Key-Fingerprint alle Leerzeichen löschen
- Mithilfe von GPG von einem Keyserver, auf welchem der Schlüssel liegt, ebenjenen herunterladen - auf Linux:
gpg --keyserver keyserver.ubuntu.com --recv-keys 0x37D2C98789D8311948394E3E41E7044E1DBA2E89
- hierbei den Teil nach 0x
durch den Key-Fingerprint ohne Leerzeichen ersetzen.
- Die PGP-Signatur der APK verifizieren -
gpg --verify F-Droid.apk.asc
oder gpg --verify F-Droid.apk.asc F-Droid.apk
- dessen Ausgabe sollte folgende, oder eine ähnliche, sein:
gpg: Signatur vom Fr 02 Dez 2022 19:17:16 CET
gpg: mittels RSA-Schlüssel 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Korrekte Signatur von "F-Droid <admin@f-droid.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = 37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
Unter-Fingerabdruck = 802A 9799 0161 1234 6E1F EFF4 7A02 9E54 DD5D CE7A
Damit wurde dann verifiziert, dass der Schlüssel, mit dem entsprechenden Fingerprint, genutzt wurde, um die Signatur für die APK zu erstellen, und diese für die heruntergeladene APK korrekt ist.