База знаний
РучейFree· Обновлено: 9 июля 2026

Как проверить подпись релиза

Каждый релиз ПО Интелбита подписан. Проверка гарантирует, что дистрибутив выпущен нами и не подменён по пути. Подписывается манифест релиза manifest.json (в нём — SHA-256 всех артефактов), а рядом лежит отделённая подпись manifest.json.sig (алгоритм Ed25519, GPG). На странице «Скачать ПО» у подписанной версии стоит бейдж «подписано» и показан отпечаток ключа.

Что понадобится

Скачанные файлы релиза: артефакт(ы), manifest.json, manifest.json.sig, и наш публичный ключ.

Шаги

  1. Импортируйте публичный ключ Интелбит с постоянного адреса:

    curl -sSL https://intelbit.ru/.well-known/intelbit-release-pubkey.asc | gpg --import
    
  2. Сверьте отпечаток ключа — он должен быть точно таким:

    A409 13E9 6B66 98C2 C3B9  7359 D403 B9B0 A0F4 B3CF
    

    uid ключа — Intelbit Release Signing <release@intelbit.ru> (проверить: gpg --fingerprint release@intelbit.ru). Если отпечаток не совпал — остановитесь.

  3. Проверьте подпись манифеста открытым ключом:

    gpg --verify manifest.json.sig manifest.json
    

    Ожидается Good signature от ключа с этим отпечатком.

  4. Сверьте целостность артефакта — его SHA-256 должен совпасть со значением в manifest.json:

    sha256sum <артефакт>
    

Подпись покрывает манифест, а манифест фиксирует SHA-256 артефактов. Если совпали отпечаток ключа, «Good signature» и контрольная сумма файла — релиз подлинный и целостный. Если подпись невалидна или отпечаток не совпал — не устанавливайте файл и обратитесь в поддержку Интелбита.

Релизы подписываются онлайн-подключом 01FD 13F1 BB20 F014 F0C4 C258 FB08 D040 44F5 DCF4 (истекает 2028-07-08); приватный мастер-ключ хранится офлайн и не покидает холодного хранилища. При компрометации подписывающий подключ отзывается офлайн-мастером.

#подпись#безопасность#скачать#gpg