Officiella utgåvor av Debian installations- och liveavbildningar kommer med signerade checksum-filer;
kolla efter dem tillsammans med avbildningarna i mapparna iso-cd,
jigdo-dvd, iso-hybrid osv.
Dessa gör det möjligt för dig att kontrollera att avbildningen du har hämtat är
korrekt. För det första så kan kontrollsumman användas för att kontrollera att
CD-avbildningen inte har skadats under nedladdningen.
För det andra så tillåter signaturen på checksumfilen att kontrollera att
avbildningarna är de som är officiellt utgivna av Debian och att de
inte har manipulerats.
För att kontrollera innehållet på en avbildningsfil, säkerställ att du använder
dig av rätt kontrollsummeverktyg.
Kryptografiskt starka kontrollsummealgoritmer
(SHA256 och SHA512) finns tillgängliga för alla utgåvor; du bör använda
verktygen sha256sum eller sha512sum för att arbeta
med dessa.
För att säkerställa att själva checksum-filerna är korrekta, använd en
OpenPGP-implementation (så som GnuPG, Sequoia-PGP, PGPainless eller GopenPGP)
för att verifiera dem mot motsvarande signatur-fil (t.ex.
SHA512SUMS.sign).
Nycklarna som används för dessa signaturer finns alla i Debians OpenPGP-nyckelring och det bästa
sättet att kontrollera dem är att använda den nyckelringen för att validera dem
via "the web of trust".
För att göra livet enklare för person som inte har enkel tillgång till en
Debianmaskin, så hittar du här detaljerna rörande de nycklar som har använts
för att signera utgåvor nyligen, samt länkar för att hämta de publika nycklarna
direkt: