doc/integrity.texi

   1 You @strong{have to} verify downloaded tarballs authenticity to be sure
   2 that you retrieved trusted and untampered software. There are two options:
   3
   4 @table @asis
   5
   6 @item @url{https://www.openpgp.org/, OpenPGP} @file{.asc} signature
   7     Use @url{https://www.gnupg.org/, GNU Privacy Guard} free software
   8     implementation.
   9     For the very first time it is necessary to get signing public key and
  10     import it. It is provided @url{PUBKEY-PGP.asc, here}, but you should
  11     check alternate resources.
  12
  13 @verbatim
  14 pub   ed25519/0x5921D596A332F844 2023-08-11
  15       3477 D329 2C77 5BF3 9DAA  0E07 5921 D596 A332 F844
  16 uid   tofuproxy releases <tofuproxy@stargrave.org>
  17 @end verbatim
  18
  19 @example
  20 $ gpg --auto-key-locate dane --locate-keys tofuproxy at stargrave dot org
  21 $ gpg --auto-key-locate  wkd --locate-keys tofuproxy at stargrave dot org
  22 @end example
  23
  24 @item @url{https://www.openssh.com/, OpenSSH} @file{.sig} signature
  25     @url{PUBKEY-SSH.pub, Public key} and its OpenPGP
  26     @url{PUBKEY-SSH.pub.asc, signature} made with the key above.
  27     Its fingerprint: @code{SHA256:NIDt9iZUizwivY3GoxmGvbQTH7mz/dmV7ZFOXeYfa2o}.
  28
  29 @example
  30 $ ssh-keygen -Y verify -f PUBKEY-SSH.pub -I tofuproxy@@cypherpunks.ru -n file \
  31     -s tofuproxy-@value{VERSION}.tar.zst.sig < tofuproxy-@value{VERSION}.tar.zst
  32 @end example
  33
  34 @end table