验证 Debian 映像的真实性

Debian 的官方安装映像和 Live 映像带有已签名的校验和文件；您可以在存有映像的 iso-cd、jigdo-dvd、iso-hybrid 目录下找到它们。其允许您检查下载的映像是否正确。首先，可以使用校验和来检查映像在下载过程中是否有损坏。其次，校验和文件上的签名允许您确认这些映像是 Debian 正式发布的文件，并没有被篡改。

要验证映像文件的内容，请确保使用适当的校验和工具。每个发布版本都支持强密码学的校验和算法（SHA256 和 SHA512）; 您应该使用对应的 sha256sum 或 sha512sum 工具来处理这些文件。

要确保校验和文件本身是正确的，请使用 OpenPGP 的实现（例如 GnuPG、Sequoia-PGP、PGPainless 或 GopenPGP）验证伴随的签名文件（例如 SHA512SUMS.sign）。用于签名的密钥都在 Debian OpenPGP 密钥环中，检查它们的最佳方法是通过信任网络使用密钥环进行验证。为了方便没有已安装 Debian 的机器的用户，以下是近年来发行用的密钥的详细信息，以及可以直接下载公钥的链接：

pub   rsa4096/988021A964E6EA7D 2009-10-03
密钥指纹 = 1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D
uid                  Debian CD signing key <debian-cd@lists.debian.org>

pub   rsa4096/DA87E80D6294BE9B 2011-01-05 [SC]
密钥指纹 = DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
uid                  Debian CD signing key <debian-cd@lists.debian.org>

pub   rsa4096/42468F4009EA8AC3 2014-04-15 [SC]
密钥指纹 = F41D 3034 2F35 4669 5F65  C669 4246 8F40 09EA 8AC3
uid                  Debian Testing CDs Automatic Signing Key <debian-cd@lists.debian.org>