Как проверить подпись релиза
Каждый релиз ПО Интелбита подписан. Проверка гарантирует, что дистрибутив выпущен нами и не подменён по пути. Подписывается манифест релиза manifest.json (в нём — SHA-256 всех артефактов), а рядом лежит отделённая подпись manifest.json.sig (алгоритм Ed25519, GPG). На странице «Скачать ПО» у подписанной версии стоит бейдж «подписано» и показан отпечаток ключа.
Что понадобится
Скачанные файлы релиза: артефакт(ы), manifest.json, manifest.json.sig, и наш публичный ключ.
Шаги
-
Импортируйте публичный ключ Интелбит с постоянного адреса:
curl -sSL https://intelbit.ru/.well-known/intelbit-release-pubkey.asc | gpg --import -
Сверьте отпечаток ключа — он должен быть точно таким:
A409 13E9 6B66 98C2 C3B9 7359 D403 B9B0 A0F4 B3CFuid ключа —
Intelbit Release Signing <release@intelbit.ru>(проверить:gpg --fingerprint release@intelbit.ru). Если отпечаток не совпал — остановитесь. -
Проверьте подпись манифеста открытым ключом:
gpg --verify manifest.json.sig manifest.jsonОжидается Good signature от ключа с этим отпечатком.
-
Сверьте целостность артефакта — его SHA-256 должен совпасть со значением в
manifest.json:sha256sum <артефакт>
Подпись покрывает манифест, а манифест фиксирует SHA-256 артефактов. Если совпали отпечаток ключа, «Good signature» и контрольная сумма файла — релиз подлинный и целостный. Если подпись невалидна или отпечаток не совпал — не устанавливайте файл и обратитесь в поддержку Интелбита.
Релизы подписываются онлайн-подключом
01FD 13F1 BB20 F014 F0C4 C258 FB08 D040 44F5 DCF4(истекает 2028-07-08); приватный мастер-ключ хранится офлайн и не покидает холодного хранилища. При компрометации подписывающий подключ отзывается офлайн-мастером.