Posso verificare che un file iso di Ubuntu non sia in alcun modo controllato usando le chiavi pubbliche già presenti e attendibili nel mio sistema Ubuntu.
Ora voglio passare da Ubuntu ad Arch e mi chiedo come posso iniziare a fidarmi che l'immagine scaricata per l'impostazione di Arch non sia stata manomessa?
So che posso usare le funzioni di hash crittografico come sha256, sha1, md5 anche se sono trasmesse attraverso lo stesso canale (quindi un utente malintenzionato dovrebbe semplicemente cambiare gli hash per adattarsi all'iso iso).
Ora c'è una via d'uscita strategica? Ad esempio, alcune distribuzioni firmano in modo incrociato le loro iso o le chiavi pubbliche in modo da poter verificare l'isos senza lasciare una catena di fiducia che ho già acquistato?
In alternativa, dovrei riscaricare l'md5 da fonti diverse, su macchine diverse e in momenti diversi per rendere più fastidioso un attacco?
questa è la procedura suggerita?