I rilasci ufficiali delle immagini Debian dell'installatore e live sono
accompagnati da file di controllo firmati;
sono disponibili nelle stesse directory delle immagini iso-cd,
jigdo-dvd, iso-hybrid, ecc.
Questi file permettono di controllare se le immagini scaricate sono corrette.
Innanzi tutto, il codice di controllo può essere utilizzato per verificare
che i CD non si siano danneggiati durante il download.
In secondo luogo, le firme dei file di controllo permettono di confermare
che i file sono quelli ufficialmente creati e rilasciati da Debian e che
non sono stati manomessi.
Per convalidare il contenuto di un'immagine occorre utilizzare lo
strumento di checksum appropriato.
Le checksum calcolate con algoritmi crittograficamente forti (SHA256 e
SHA512) sono disponibili per tutti i rilasci;
per utilizzarle si deve impiegare lo strumenti di verifica
sha256sum o sha512sum corrispondente.
Utilizzare una delle implementazioni di OpenPGP (per esempio GnuPG,
Sequoia-PGP, PGPainless o GopenPGP) per assicurarsi che gli stessi file
di controllo siano a loro volta corretti, verificandoli con il file di
firma che li accompagna (es. SHA512SUMS.sign).
Le chiavi utilizzate per queste firme sono tutte nel portachiavi OpenPGP Debian e il modo
migliore per verificarle è impiegare questo portachiavi per convalidarle
tramite la rete di fiducia.
Al fine di rendere la vita più semplice a coloro che ancora non hanno
un pronto accesso a una macchina con Debian, questi sono i dettagli
delle chiavi utilizzate per firmare i rilasci degli anni recenti e i
collegamenti diretti alle rispettive chiavi pubbliche: