Перейти к основному содержимому
Версия: В разработке

Приложение C. Проверка подписи дистрибутива

Каждый релиз подписан электронной подписью Интелбит (Ed25519, GPG). Проверка гарантирует, что дистрибутив выпущен нами и не подменён.

1. Импорт открытого ключа

curl -sSL https://intelbit.ru/.well-known/intelbit-release-pubkey.asc | gpg --import

2. Сверка контрольной суммы

sha256sum voice-robot-box-1.0.0.tar.gz

Значение должно совпасть с sha256 артефакта в manifest.json.

3. Проверка подписи манифеста

Рядом с manifest.json лежит отделённая подпись manifest.json.sig:

gpg --verify manifest.json.sig manifest.json

Ожидаемый вывод:

gpg: Good signature from "Intelbit Release Signing <release@intelbit.ru>"

4. Сверка отпечатка

Отпечаток подписывающего ключа должен быть:

A40913E96B6698C2C3B97359D403B9B0A0F4B3CF

Он же показан у подписанной версии в кабинете Маяка (бейдж «подписано»).

Не совпало — не устанавливайте

Если контрольная сумма или подпись не сходятся, либо отпечаток отличается — не устанавливайте дистрибутив и обратитесь в поддержку.

Связанная статья базы знаний: Как проверить подпись релиза.