Debian em CDs

Verificando a autenticidade dos CDs do Debian

As versões oficiais dos CDs do Debian vêm com arquivos de checksum assinados; procure por eles, juntamente com as imagens, nos diretórios iso-cd, jigdo-dvd, iso-hybrid, etc. Eles permitem à você verificar se as imagens que você baixou estão corretas. Primeiramente, o checksum pode ser usado para verificar se os CDs não foram corrompidos durante o download. Em segundo lugar, as assinaturas nos arquivos de checksum permitem que você confirme se os arquivos são os que foram oficialmente lançados pela equipe Debian CD / Debian Live e não foram adulterados.

Para validar o conteúdo de uma imagem de CD, apenas assegure-se de usar a ferramenta apropriada de checksum. Algoritmos de checksum criptograficamente fortes (SHA256 e SHA512) estão disponíveis para todas as versões; você deve usar as ferramentas sha256sum ou sha512sum para trabalhar com eles.

Para garantir que os próprios arquivos de checksum estejam corretos, use o GnuPG para verificá-los em relação aos arquivos de assinatura que os acompanham (por exemplo, SHA512SUMS.sign). As chaves usadas para essas assinaturas estão todas no chaveiro GPG do Debian e a melhor maneira de verificá-las é usar esse chaveiro para validar através da rede de confiança. Para tornar a vida dos usuários mais fácil, aqui estão as fingerprints das chaves que têm sido usadas para lançamentos nos últimos anos:

pub   4096R/64E6EA7D 2009-10-03
      Key fingerprint = 1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D
uid                  Debian CD signing key <debian-cd@lists.debian.org>

pub   4096R/6294BE9B 2011-01-05
      Key fingerprint = DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
uid                  Debian CD signing key <debian-cd@lists.debian.org>
sub   4096R/11CD9819 2011-01-05

pub   4096R/09EA8AC3 2014-04-15
      Key fingerprint = F41D 3034 2F35 4669 5F65  C669 4246 8F40 09EA 8AC3
uid                  Debian Testing CDs Automatic Signing Key <debian-cd@lists.debian.org>
sub   4096R/6BD05CFB 2014-04-15