Приложение C. Проверка подписи дистрибутива
Каждый релиз подписан электронной подписью Интелбит (Ed25519, GPG). Проверка гарантирует, что дистрибутив выпущен нами и не подменён.
1. Импорт открытого ключа
curl -sSL https://intelbit.ru/.well-known/intelbit-release-pubkey.asc | gpg --import
2. Сверка контрольной суммы
sha256sum voice-robot-box-1.0.0.tar.gz
Значение должно совпасть с sha256 артефакта в manifest.json.
3. Проверка подписи манифеста
Рядом с manifest.json лежит отделённая подпись manifest.json.sig:
gpg --verify manifest.json.sig manifest.json
Ожидаемый вывод:
gpg: Good signature from "Intelbit Release Signing <release@intelbit.ru>"
4. Сверка отпечатка
Отпечаток подписывающего ключа должен быть:
A40913E96B6698C2C3B97359D403B9B0A0F4B3CF
Он же показан у подписанной версии в кабинете Маяка (бейдж «подписано»).
Не совпало — не устанавливайте
Если контрольная сумма или подпись не сходятся, либо отпечаток отличается — не устанавливайте дистрибутив и обратитесь в поддержку.
Связанная статья базы знаний: Как проверить подпись релиза.