Debian su CD

Verificare l'autenticità dei CD Debian

Nota: L'originale è più recente di questa traduzione.

I rilasci ufficiali dei CD sono accompagnati da file di controllo firmati; questi permettono di controllare che le immagini scaricate siano corrette. Innanzi tutto, il codice di controllo può essere utilizzato per verificare che i CD non si siano danneggiati durante il download. In secondo luogo, le firme dei file di controllo permettono di confermare che i file sono quelli ufficialmente rilasciati dal team Debian CD / Debian Live e che non sono stati manomessi.

Per convalidare il contenuto di un'immagine di CD, basta assicurarsi di utilizzare lo strumento di checksum appropriato. Per i CD archiviati, rilasciati in passato, sono stati generati solamente i codici di controllo MD5 nei file MD5SUMS; per utilizzarli si deve impiegare lo strumento md5sum. Per i rilasci recenti sono stati utilizzati algoritmi di checksum moderni e crittograficamente più robusti (SHA1, SHA256 e SHA512), per i quali sono disponibili strumenti equivalenti.

Utilizzare GnuPG per assicurarsi che i file di controllo siano a loro volta corretti, verificandoli con il file di firma che li accompagna (es. MD5SSUMS.sign). Le chiavi utilizzate per queste firme sono tutte nel portachiavi GPG Debian e il modo migliore per verificarle è impiegare questo portachiavi per convalidarle tramite la rete di fiducia. Al fine di rendere la vita più semplice agli utenti, queste sono le impronte delle chiavi utilizzate per i rilasci degli anni recenti (con alcuni UID rimossi per chiarezza):

pub   4096R/64E6EA7D 2009-10-03
      Impronta digitale = 1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D
uid                  Debian CD signing key <debian-cd@lists.debian.org>

pub   4096R/6294BE9B 2011-01-05
      Impronta digitale = DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
uid                  Debian CD signing key <debian-cd@lists.debian.org>
sub   4096R/11CD9819 2011-01-05

pub   4096R/09EA8AC3 2014-04-15
      Impronta digitale = F41D 3034 2F35 4669 5F65  C669 4246 8F40 09EA 8AC3
uid                  Debian Testing CDs Automatic Signing Key <debian-cd@lists.debian.org>
sub   4096R/6BD05CFB 2014-04-15

Le chiavi ufficiali di ruolo hanno gradualmente sostituito l'uso delle chiavi personali appartenenti agli sviluppatori. È stato tuttavia deciso di non ritornare a firmare tutti i vecchi rilasci che erano già firmati con le chiavi precedenti.