Officiële releases van Debian installatie- en live-images bevatten een ondertekend controlegetal-bestand.
U vindt dit samen met het image in de map iso-cd,
jigdo-dvd, iso-hybrid, enz.
Deze bestanden laten u toe na te gaan of de images welke u downloadt, correct zijn.
Vooreerst kan het controlegetal gebruikt worden om te controleren of de images
bij het downloaden niet beschadigd werden.
Bovendien bevestigt de ondertekening van het controlegetal-bestand dat de bestanden
wel degelijk deze zijn welke uitgegeven werden door
Debian en dat er niet mee geknoeid werd.
Om zekerheid te verkrijgen over de geldigheid van de inhoud van een image-bestand,
moet u het juiste controlegetal-gereedschap gebruiken.
Voor elke release zijn cryptografisch sterke controlegetal-algoritmes
(SHA256 and SHA512) beschikbaar. Om ermee te werken, moet u
gebruik maken van de bijbehorende hulpmiddelen sha256sum en sha512sum.
Om er zeker van te zijn dat de controlegetal-bestanden zelf correct zijn,
moet u OpenPGP-implementatie (zoals GnuPG, Sequoia-PGP, PGPainless of GopenPGP)
gebruiken om ze te verifiëren aan de hand van het begeleidende
ondertekeningsbestand (bijv. SHA512SUMS.sign).
De sleutels welke gebruikt worden voor deze ondertekening bevinden zich
allemaal in de Debian OpenPGP-sleutelbos,
en de beste manier om deze te controleren, is deze sleutelbos te gebruiken om
deze via het web van vertrouwen (the web of trust) geldig te laten verklaren.
Om het makkelijker te maken voor mensen die geen toegang hebben tot een bestaande Debian-machine, volgen hier details over de sleutels die de afgelopen jaren zijn gebruikt om releases te ondertekenen, en links om de publieke sleutels rechtstreeks te downloaden: