[bglug] Verificare l'autenticità di un file.iso in generale e di Debian in particolare

Elena ``of Valhalla'' valhalla-l@trueelena.org
Lun 2 Maggio 2022 11:19:23 CEST


On 2022-05-02 at 07:08:06 +0000, Tom wrote:
> Ciao Andrea io ho scaricato la chiave con questo comando
> [...]

Che sistema operativo stai usando per verificare la chiave?

Sotto Debian, ma credo anche le derivate, c'è un pacchetto
debian-keyring che installa le varie chiavi usate da debian, per cui poi
si possono verificare le firme delle immagini di installazione col
solo comando::

    $ gpg --no-default-keyring \
      --keyring /usr/share/keyrings/debian-role-keys.gpg \
      --verify SHA512SUMS.sign

seguito poi da sha512sum (o 256 se si son scaricati gli altri checksum);
da un warning sul fatto che la chiave non sia verificata con una firma
fidata, ma se ci si fida del sistema su cui si è lo si può ignorare,
perché arriva da un pacchetto che è stato installato tramite apt, da un
repository firmato.

Il problema è che questo richiede di usare già una distribuzione
debian-based e di cui ci si fida, e se si sta scaricando l'installer non
è detto che la si abbia a disposizione.

-- 
Elena ``of Valhalla''


Maggiori informazioni sulla lista bglug