[bglug] Verificare l'autenticità di un file.iso in generale e di Debian in particolare
Elena ``of Valhalla''
valhalla-l@trueelena.org
Lun 2 Maggio 2022 11:19:23 CEST
On 2022-05-02 at 07:08:06 +0000, Tom wrote:
> Ciao Andrea io ho scaricato la chiave con questo comando
> [...]
Che sistema operativo stai usando per verificare la chiave?
Sotto Debian, ma credo anche le derivate, c'è un pacchetto
debian-keyring che installa le varie chiavi usate da debian, per cui poi
si possono verificare le firme delle immagini di installazione col
solo comando::
$ gpg --no-default-keyring \
--keyring /usr/share/keyrings/debian-role-keys.gpg \
--verify SHA512SUMS.sign
seguito poi da sha512sum (o 256 se si son scaricati gli altri checksum);
da un warning sul fatto che la chiave non sia verificata con una firma
fidata, ma se ci si fida del sistema su cui si è lo si può ignorare,
perché arriva da un pacchetto che è stato installato tramite apt, da un
repository firmato.
Il problema è che questo richiede di usare già una distribuzione
debian-based e di cui ci si fida, e se si sta scaricando l'installer non
è detto che la si abbia a disposizione.
--
Elena ``of Valhalla''
Maggiori informazioni sulla lista
bglug