<html> 
 <head></head> 
 <body> <span dir="ltr" style="margin-top:0; margin-bottom:0;">Ciao Andrea io ho scaricato la chiave con questo comando</span> 
  <br> <span dir="ltr" style="margin-top:0; margin-bottom:0;">$ gpg --verify SHA512SUMS.sign SHA512SUMS</span> 
  <br> <span dir="ltr" style="margin-top:0; margin-bottom:0;">che mi ha mostrato la chiave pubblica e poi l'ho installata con questo comando</span> 
  <br> <span dir="ltr" style="margin-top:0; margin-bottom:0;">$ gpg --keyserver keyring.debian.org --recv-keys e ho incollato la chiave trovata col primo comando e poi alla fine ho dato il comando</span> 
  <br> <span dir="ltr" style="margin-top:0; margin-bottom:0;">$ gpg --verify SHA512SUMS.sign SHA512SUMS</span> 
  <br> <span dir="ltr" style="margin-top:0; margin-bottom:0;">per verificare che il file SHA512SUMS sia autentico, ma qualcosa deve essere andata storta in quanto il messaggio diceva bad signature anziché Good signature, magari riprovo a fare tutta la procedura (quindi a riscaricare la iso e i codici di controllo)</span> 
  <br> 
  <br> 
  <blockquote style="border-left:3px solid #ccc; padding-left:10px;margin:0;"> <span dir="ltr" style="margin-top:0; margin-bottom:0;">La chiave la scarichi da <a href="keyring.debian.org">keyring.debian.org</a>, che assuma non ci siano chiavi di altri</span> 
   <br> 
  </blockquote> <span dir="ltr" style="margin-top:0; margin-bottom:0;">Questo passaggio non mi é chiaro</span> 
  <br> <span dir="ltr" style="margin-top:0; margin-bottom:0;">e anche questo</span> 
  <br> 
  <br> 
  <blockquote style="border-left:3px solid #ccc; padding-left:10px;margin:0;"> <span dir="ltr" style="margin-top:0; margin-bottom:0;">Se è presente in /usr/share/keyrings/debian-role-keys.gpg allora è una chiave fidata perché assumiamo che questo file sia stato installato in totale integrità</span> 
   <br> 
  </blockquote> 
  <br> <span dir="ltr" style="margin-top:0; margin-bottom:0;">Grazie mille</span> 
  <br> <span dir="ltr" style="margin-top:0; margin-bottom:0;">Ti auguro una buona giornata</span> 
  <br> <span dir="ltr" style="margin-top:0; margin-bottom:0;">Tommaso</span> 
  <br> 
  <div> 
   <br> 
   <div> 
    <p>2 mag 2022 08:09:34 Andrea Laisa <amreo@linux.it>:</p> 
   </div> 
   <blockquote style="margin:0;border-left:3px solid #ccc; padding-left:10px"> 
    <p>Con PGP le chiavi privati non vengono firmate da un'autorità centrale, ma sono semplicemente indipendenti.</p> 
    <p>Che la chiave pubblica appartiene allo sviluppatore puoi esserne (quasi)certo perché: <br> </p> 
    <p>* La chiave la scarichi da keyring.debian.org, che assuma non ci siano chiavi di altri<br> </p> 
    <p>* Per recuperare la chiave pubblica hai probabilmente visitato il sito ufficiale di debian ovvero debian.org</p> 
    <p>* La chiave l'hai scaricato via HTTPS per cui è (quasi)impossibile che sia stata sostituita durante lo scaricamento</p> 
    <p>* Se è presente in /usr/share/keyrings/debian-role-keys.gpg allora è una chiave fidata perché assumiamo che questo file sia stato installato in totale integrità.</p> 
    <p><br> </p> 
    <p>amreo<br> </p> 
    <div class="moz-cite-prefix">
      Il 01/05/22 20:28, Tom ha scritto: 
     <br> 
    </div> 
    <blockquote type="cite" cite="mid:10dfdab2-2fdb-4604-90d7-f94f5fd636db@libero.it"> 
     <meta http-equiv="content-type" content="text/html; charset=UTF-8"> <span dir="ltr" style="margin-top:0; margin-bottom:0">Carissimi buona sera mi chiamo Tommaso mi sto cimentando con il mondo Linux  e vi scrivo per chiedervi un chiarimento sulla seguente questione: volevo, prima di installare Linux Debian sul mio mini PC,  verificare l'autenticità dell'immagine del file di installazione di Debian (il file.iso) e quindi fare la verifica della firma del  checksum e ho seguito questa guida <a href="https://guide.debianizzati.org/index.php/Controllare_l%27integrit%C3%A0_delle_immagini_Debian" moz-do-not-send="true" class="moz-txt-link-freetext">https://guide.debianizzati.org/index.php/Controllare_l%27integrit%C3%A0_delle_immagini_Debian</a></span> 
     <br> <span dir="ltr" style="margin-top:0; margin-bottom:0">paragrafo verifica della firma PGP, ho trovato la chiave pubblica e l'ho installata, ma mi é venuto un dubbio come faccio a verificare che la chiave pubblica appartiene allo sviluppatore di Linux Debian?</span> 
     <br> <span dir="ltr" style="margin-top:0; margin-bottom:0">Da quello che ho capito bisognerebbe guardare a chi ha firmato la chiave dello sviluppatore.</span> 
     <br> <span dir="ltr" style="margin-top:0; margin-bottom:0">Pero non ho capito come si fa.</span> 
     <br> <span dir="ltr" style="margin-top:0; margin-bottom:0">Chiedo a questa lista un aiuto</span> 
     <br> 
     <br> <span dir="ltr" style="margin-top:0; margin-bottom:0">Grazie mille buona domenica</span> 
     <br> <span dir="ltr" style="margin-top:0; margin-bottom:0">Tommaso </span> 
     <br> 
     <br> 
     <fieldset class="moz-mime-attachment-header"></fieldset> 
     <pre class="moz-quote-pre" wrap="">
</pre> 
    </blockquote> 
   </blockquote> 
  </div>  
 </body>
</html>