[bglug] Verificare l'autenticità di un file.iso in generale e di Debian in particolare

Andrea Laisa amreo@linux.it
Lun 2 Maggio 2022 08:09:23 CEST


Con PGP le chiavi privati non vengono firmate da un'autorità centrale, 
ma sono semplicemente indipendenti.

Che la chiave pubblica appartiene allo sviluppatore puoi esserne 
(quasi)certo perché:

* La chiave la scarichi da keyring.debian.org, che assuma non ci siano 
chiavi di altri

* Per recuperare la chiave pubblica hai probabilmente visitato il sito 
ufficiale di debian ovvero debian.org

* La chiave l'hai scaricato via HTTPS per cui è (quasi)impossibile che 
sia stata sostituita durante lo scaricamento

* Se è presente in /usr/share/keyrings/debian-role-keys.gpg allora è una 
chiave fidata perché assumiamo che questo file sia stato installato in 
totale integrità.


amreo

Il 01/05/22 20:28, Tom ha scritto:
> Carissimi buona sera mi chiamo Tommaso mi sto cimentando con il mondo 
> Linux  e vi scrivo per chiedervi un chiarimento sulla seguente 
> questione: volevo, prima di installare Linux Debian sul mio mini PC,  
> verificare l'autenticità dell'immagine del file di installazione di 
> Debian (il file.iso) e quindi fare la verifica della firma del  
> checksum e ho seguito questa guida 
> https://guide.debianizzati.org/index.php/Controllare_l%27integrit%C3%A0_delle_immagini_Debian 
>
> paragrafo verifica della firma PGP, ho trovato la chiave pubblica e 
> l'ho installata, ma mi é venuto un dubbio come faccio a verificare che 
> la chiave pubblica appartiene allo sviluppatore di Linux Debian?
> Da quello che ho capito bisognerebbe guardare a chi ha firmato la 
> chiave dello sviluppatore.
> Pero non ho capito come si fa.
> Chiedo a questa lista un aiuto
>
> Grazie mille buona domenica
> Tommaso
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/bglug/attachments/20220502/2c0a34e3/attachment.htm>


Maggiori informazioni sulla lista bglug