Как убедиться, что скачанный установщик подлинный и не был изменён.
GPG-подпись позволяет убедиться, что установщик скачан именно с vibepn.app и не был изменён в пути (MITM-атака, подменённое зеркало). Подпись не гарантирует отсутствие багов — она гарантирует только целостность файла.
Fingerprint: DFB9 854D DEFB 70D5 0FBF 5D28 0B60 9680 778A 7AF5
Скачайте публичный ключ: vibepn.app/pubkey.asc
Импортируйте его в своё GPG-хранилище:
curl -sL https://vibepn.app/pubkey.asc | gpg --import
Проверьте fingerprint после импорта:
gpg --fingerprint vibepn # или gpg --list-keys 778A7AF5
Ожидаемый вывод должен содержать fingerprint: DFB9 854D DEFB 70D5 0FBF 5D28 0B60 9680 778A 7AF5
Скачайте .deb или .rpm и соответствующий .asc файл со страницы загрузок (ссылки рядом с каждым файлом), затем:
# Пример для .deb gpg --verify VibePN_0.1.1_amd64.deb.asc VibePN_0.1.1_amd64.deb # Пример для .rpm gpg --verify VibePN-0.1.1-1.x86_64.rpm.asc VibePN-0.1.1-1.x86_64.rpm
Ожидаемый вывод:
gpg: Signature made ... gpg: using EDDSA key DFB9854DDEFB70D50FBF5D280B609680778A7AF5 gpg: Good signature from "VibePN Releases ..."
Good signature означает, что файл подлинный. Сообщение «ключ не имеет доверия» — это нормально и не означает проблему; оно означает, что вы ещё не пометили ключ как доверенный в своём GPG-хранилище.
Вариант 1 — через Gpg4win (графический):
DFB9 854D DEFB 70D5 0FBF 5D28 0B60 9680 778A 7AF5Вариант 2 — через командную строку (после установки Gpg4win):
# В PowerShell или cmd gpg --verify VibePN_0.1.1_x64-setup.exe.asc VibePN_0.1.1_x64-setup.exe
.asc файлы доступны прямо с страницы загрузок — ссылка рядом с каждым установщиком.
Если вы хотите только проверить целостность без GPG, используйте sha256:
# Linux / macOS sha256sum VibePN_0.1.1_amd64.deb # Windows (PowerShell) Get-FileHash VibePN_0.1.1_x64-setup.exe -Algorithm SHA256
Сравните полученный хеш с хешами на странице загрузок.