Debian su CD

Verificare l'autenticità dei CD Debian

I rilasci ufficiali dei CD sono accompagnati da file di controllo firmati; questi permettono di controllare che le immagini scaricate siano corrette. Innanzi tutto, il codice di controllo può essere utilizzato per verificare che i CD non si siano danneggiati durante il download. In secondo luogo, le firme dei file di controllo permettono di confermare che i file sono quelli ufficialmente rilasciati dal team Debian CD / Debian Live e che non sono stati manomessi.

Per convalidare il contenuto di un'immagine di CD, basta assicurarsi di utilizzare lo strumento di checksum appropriato. Per i CD archiviati, rilasciati in passato, sono stati generati solamente i codici di controllo MD5 nei file MD5SUMS; per utilizzarli si deve impiegare lo strumento md5sum. Per i rilasci recenti sono stati utilizzati algoritmi di checksum moderni e crittograficamente più robusti (SHA1, SHA256 e SHA512), per i quali sono disponibili strumenti equivalenti.

Utilizzare GnuPG per assicurarsi che i file di controllo siano a loro volta corretti, verificandoli con il file di firma che li accompagna (es. MD5SSUMS.sign). Le chiavi utilizzate per queste firme sono tutte nel portachiavi GPG Debian e il modo migliore per verificarle è impiegare questo portachiavi per convalidarle tramite la rete di fiducia. Al fine di rendere la vita più semplice agli utenti, queste sono le impronte delle chiavi utilizzate per i rilasci degli anni recenti (con alcuni UID rimossi per chiarezza): 

pub   1024D/88C7C1F7 1999-01-30
      Impronta digitale = AC65 6D79 E362 32CF 77BB  B0E8 7C3B 7970 88C7 C1F7
uid                  Steve McIntyre <93sam@debian.org>
uid                  Debian CD signing key <debian-cd@lists.debian.org>

pub   1024D/F6A32A8E 2000-09-16
      Impronta digitale = 3F0A 12FC 0B55 A917 D791  82D3 72FD C205 F6A3 2A8E
uid                  Santiago Garcia Mantinan (manty) <manty@debian.org>
sub   1024g/8D0EB704 2000-09-16

pub   1024D/4B2B2B9E 2004-06-20
      Impronta digitale = 709F 54E4 ECF3 1956 2332  6AE3 F82E 5CC0 4B2B 2B9E
uid                  Daniel Baumann <daniel@debian.org>
sub   1024g/19ED1B2F 2004-06-20

pub   4096R/5CEE3195 2009-05-21
      Impronta digitale = D2FB 633A DDC2 0485 CBCE  6D12 39BE 2D72 5CEE 3195
uid                  Daniel Baumann <daniel@debian.org>
sub   4096R/E7D77F65 2009-05-21

pub   4096R/64E6EA7D 2009-10-03
      Impronta digitale = 1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D
uid                  Debian CD signing key <debian-cd@lists.debian.org>

pub   4096R/6294BE9B 2011-01-05
      Impronta digitale = DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
uid                  Debian CD signing key <debian-cd@lists.debian.org>
sub   4096R/11CD9819 2011-01-05

pub   4096R/6CA7B5A6 2011-03-09
      Impronta digitale = 696F 95F0 88E4 D359 947F  7AEB 6F95 B499 6CA7 B5A6
uid                  Debian Live Signing Key <debian-live@lists.debian.org>
sub   4096R/6E7B0CD3 2011-03-09

pub   4096R/AD11CF6A 2013-05-06
      Impronta digitale = 1E4F 435C 4E9A 42B3 D9DF  BE3A 510A D6B9 AD11 CF6A
uid                  Debian Live Signing Key (2013) <debian-live@lists.debian.org>
sub   4096R/B72E3E00 2013-05-06

Le chiavi ufficiali di ruolo hanno gradualmente sostituito l'uso delle chiavi personali appartenenti agli sviluppatori. È stato tuttavia deciso di non ritornare a firmare tutti i vecchi rilasci che erano già firmati con le chiavi precedenti.