Приложение C. Проверка подписи дистрибутива
Каждый релиз подписан электронной подписью Интелбит (Ed25519, GPG). Проверка гарантирует, что дистрибутив выпущен нами и не подменён.
1. Импорт открытого ключа
curl -sSL https://intelbit.ru/.well-known/intelbit-release-pubkey.asc | gpg --import
2. Сверка контрольной суммы
sha256sum voice-robot-box-1.0.0.tar.gz
Значение должно совпасть с sha256 артефакта в manifest.json.
3. Проверка подписи манифеста
Рядом с manifest.json лежит отделённая подпись manifest.json.sig:
gpg --verify manifest.json.sig manifest.json
Ожидаемый вывод:
gpg: Good signature from "Intelbit Release Signing <release@intelbit.ru>"