使用 GPG 校验文件完整性

安装GPG

全平台下安装 GPG 后均可使用以下命令校验，在此以校验 xposed 为例：

首先导入公钥

gpg --recv-keys 852109AA

gpg: 下载密钥‘852109AA’，从 hkp 服务器 keys.gnupg.net
gpg: 密钥 7235F333：公钥“rovo89 android@robv.de”已导入
gpg: 没有找到任何绝对信任的密钥
gpg: 合计被处理的数量：1
gpg: 已导入：1 (RSA: 1)

使用下载的 asc / sig 文件校验

gpg --verify xposed-v90-sdk26-arm64-beta1.zip.asc xposed-v90-sdk26-arm64-beta1.zip

gpg: 于 2018年01月09日 星期二 04时13分58秒 CST 创建的签名，使用 RSA，钥匙号 852109AA
gpg: 完好的签名，来自于“rovo89 android@robv.de”
gpg: 亦即“rovo89 rovo89@xposed.info”
gpg: 警告：这把密钥未经受信任的签名认证！
gpg: 没有证据表明这个签名属于它所声称的持有者。
主钥指纹： 0DC8 2B3E B1C4 6D48 33B4 C434 E82F 0871 7235 F333

子钥指纹： EA94 3952 EB4E 66EB 8115  1B3E 865B 714E 8521 09AA

对比原作者放出的 fingerprint 即可。