Официальные установочные и живые
образы выпусков Debian
содержат подписанные файлы с контрольными суммами; их вместе с
образами в каталогах iso-cd, jigdo-dvd,
iso-hybrid и т. п. Эти файлы позволяют проверить
корректность загруженных вами образов. Во-первых, контрольная сумма
может использоваться для проверки того, что образы не были повреждены
во время загрузки. Во-вторых, подписи файлов с контрольными суммами
позволяют подтвердить, что эти файлы официально выпущены командами
Debian, и что они не были подделаны.
Чтобы проверить содержимое файла с образом следует использовать
соответствующую утилиту. Для каждого выпуска используются криптографически
стойкие алгоритмы вычисления контрольных сумм (SHA256 и SHA512);
для работы с ними вам следует использовать инстументы
sha256sum или sha512sum.
Чтобы удостовериться, что файлы с контрольными суммами сами по себе верны, используйте
реализацию OpenPGP (такую как GnuPG, Sequoia-PGP, PGPainless или GopenPGP) для
проверки их соответствия прилагаемым файлам с подписями (например,
SHA512SUMS.sign). Все ключи, используемые для этих подписей,
включены в набор OpenPGP-ключей Debian
и лучший способ проверить их — использовать этот набор ключей
для проверки через паутину доверия. Для облегчения жизни пользователей,
не имеющих доступ к машине под управлением Debian, ниже приведена информация о
ключах, которые использовались для выпусков в последние годы, а также ссылки
для загрузки открытых ключей: