[bglug] Verificare l'autenticità di un file.iso in generale e di Debian in particolare
Andrea Laisa
amreo@linux.it
Lun 2 Maggio 2022 08:09:23 CEST
Con PGP le chiavi privati non vengono firmate da un'autorità centrale,
ma sono semplicemente indipendenti.
Che la chiave pubblica appartiene allo sviluppatore puoi esserne
(quasi)certo perché:
* La chiave la scarichi da keyring.debian.org, che assuma non ci siano
chiavi di altri
* Per recuperare la chiave pubblica hai probabilmente visitato il sito
ufficiale di debian ovvero debian.org
* La chiave l'hai scaricato via HTTPS per cui è (quasi)impossibile che
sia stata sostituita durante lo scaricamento
* Se è presente in /usr/share/keyrings/debian-role-keys.gpg allora è una
chiave fidata perché assumiamo che questo file sia stato installato in
totale integrità.
amreo
Il 01/05/22 20:28, Tom ha scritto:
> Carissimi buona sera mi chiamo Tommaso mi sto cimentando con il mondo
> Linux e vi scrivo per chiedervi un chiarimento sulla seguente
> questione: volevo, prima di installare Linux Debian sul mio mini PC,
> verificare l'autenticità dell'immagine del file di installazione di
> Debian (il file.iso) e quindi fare la verifica della firma del
> checksum e ho seguito questa guida
> https://guide.debianizzati.org/index.php/Controllare_l%27integrit%C3%A0_delle_immagini_Debian
>
> paragrafo verifica della firma PGP, ho trovato la chiave pubblica e
> l'ho installata, ma mi é venuto un dubbio come faccio a verificare che
> la chiave pubblica appartiene allo sviluppatore di Linux Debian?
> Da quello che ho capito bisognerebbe guardare a chi ha firmato la
> chiave dello sviluppatore.
> Pero non ho capito come si fa.
> Chiedo a questa lista un aiuto
>
> Grazie mille buona domenica
> Tommaso
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/bglug/attachments/20220502/2c0a34e3/attachment.htm>
Maggiori informazioni sulla lista
bglug