Verificando a autenticidade dos CDs do Debian
Nota: O documento original é mais novo que esta tradução.
As versões oficiais dos CDs do Debian vêm com arquivos de checksum assinados;
procure por eles, juntamente com as imagens, nos diretórios iso-cd,
jigdo-dvd, iso-hybrid, etc.
Eles permitem à você verificar se as imagens que você baixou estão corretas.
Primeiramente, o checksum pode ser usado para verificar se os CDs não
foram corrompidos durante o download.
Em segundo lugar, as assinaturas nos arquivos de checksum permitem que você
confirme se os arquivos são os que foram oficialmente lançados pela equipe
Debian CD / Debian Live e não foram adulterados.
Para validar o conteúdo de uma imagem de CD, apenas assegure-se de usar a
ferramenta apropriada de checksum.
Algoritmos de checksum criptograficamente fortes (SHA256 e SHA512) estão
disponíveis para todas as versões; você deve usar as ferramentas
sha256sum ou sha512sum para trabalhar com eles.
Para garantir que os próprios arquivos de checksum estejam corretos, use o
GnuPG para verificá-los em relação aos arquivos de assinatura que os
acompanham (por exemplo, SHA512SUMS.sign).
As chaves usadas para essas assinaturas estão todas no chaveiro GPG do Debian e a melhor
maneira de verificá-las é usar esse chaveiro para validar através da rede de
confiança.
Para tornar a vida dos(as) usuários(as) mais fácil, aqui estão as fingerprints das
chaves que têm sido usadas para lançamentos nos últimos anos:
pub rsa4096/988021A964E6EA7D 2009-10-03 Fingerprint da Chave = 1046 0DAD 7616 5AD8 1FBC 0CE9 9880 21A9 64E6 EA7D uid Debian CD signing key <debian-cd@lists.debian.org> pub rsa4096/DA87E80D6294BE9B 2011-01-05 [SC] Fingerprint da Chave = DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B uid Debian CD signing key <debian-cd@lists.debian.org> pub rsa4096/42468F4009EA8AC3 2014-04-15 [SC] Fingerprint da Chave = F41D 3034 2F35 4669 5F65 C669 4246 8F40 09EA 8AC3 uid Debian Testing CDs Automatic Signing Key <debian-cd@lists.debian.org>