Officielle udgaver af Debian-cd'er indeholder signerede checksumfiler; kig
efter dem samme sted som filaftrykkene, i mapperne iso-cd,
jigdo-dvd, iso-hybrid osv. De gør det muligt at sikre
sig, at aftrykkene man har hentet, er korrekte. Først og fremmest kan
checksummen anvendes til at kontrollere, at cd'erne ikke er blevet ødelagt under
overførslen. Desuden gør signaturerne i checksumfilerne det muligt at bekræfte,
at filerne virkelig er dem, der officielt er udgivet af Debians CD/Live-hold og
at der ikke er manipuleret med dem.
For at validere indholdet af et cd-aftryk, skal man blot anvende det rette
checksumværktøj. Kryptografisk stærke algoritmer (SHA256 og SHA512) er
tilgængelige til alle udgivelser; man bør anvende værktøjerne
sha256sum eller sha512sum for at arbejde med disse
filer.
For at sikre, at selve checksumfilerne er korrekte, anvendes GnuPG til at
sammenligne dem med de tilhørende signaturfiler (fx
SHA512SUMS.sign). Nøglerne, der anvendes til disse signaturer, er
alle i Debians GPG-nøglering, og den
bedste måde at kontrollere dem på, er at anvende den nøglering til at validere
gennem web of trust
. For at gøre livet lettere for brugerne, er her
fingeraftrykkene hørende til de nøgler, der har været anvendt til udgivelserne i
de senere år: