[bglug] Verificare l'autenticità di un file.iso in generale e di Debian in particolare

[Tom]

Grazie Elena,per la tua risposta sto utilizzando un PC con windows 10 sul quale ho installato Ubuntu tramite wsl, per cui ho aperto un terminale da Ubuntu.Inoltre ho dato uno sguardo a questa pagina https://www.debian.org/CD/verify.it.html
ma non ho capito come si usano le informazioni inserite in questa pagina, parla di portachiavi e in fondo di impronte delle firme.
Grazie mille per il tuo aiuto
Tommaso

2 mag 2022 11:19:44 Elena ``of Valhalla'' <valhalla-l@trueelena.org>:

> On 2022-05-02 at 07:08:06 +0000, Tom wrote:
>> Ciao Andrea io ho scaricato la chiave con questo comando
>> [...]
> 
> Che sistema operativo stai usando per verificare la chiave?
> 
> Sotto Debian, ma credo anche le derivate, c'è un pacchetto
> debian-keyring che installa le varie chiavi usate da debian, per cui poi
> si possono verificare le firme delle immagini di installazione col
> solo comando::
> 
>     $ gpg --no-default-keyring \
>       --keyring /usr/share/keyrings/debian-role-keys.gpg \
>       --verify SHA512SUMS.sign
> 
> seguito poi da sha512sum (o 256 se si son scaricati gli altri checksum);
> da un warning sul fatto che la chiave non sia verificata con una firma
> fidata, ma se ci si fida del sistema su cui si è lo si può ignorare,
> perché arriva da un pacchetto che è stato installato tramite apt, da un
> repository firmato.
> 
> Il problema è che questo richiede di usare già una distribuzione
> debian-based e di cui ci si fida, e se si sta scaricando l'installer non
> è detto che la si abbia a disposizione.
> 
> -- 
> Elena ``of Valhalla''
> 
> -- 
> Sito BgLUG: http://www.bglug.it
> Mailing list: http://lists.linux.it/listinfo/bglug