Sto scaricando Ubuntu Linux e vorrei accertarmi che il mio download non sia stato manomesso.
Ubuntu ha una chiave GPG, che potrei usare per assicurarmi che il download sia valido - ma come convalidare la chiave? Sfortunatamente, la chiave sembra essere disponibile solo tramite hkp, che non è un protocollo sicuro!
La chiave GPG è firmata da sola - ma come posso controllare quei chiavi?
Le istruzioni di Ubuntu per verificare il download non sono utili a meno che la chiave pubblica per verificare le firme sia disponibile in modo sicuro. GPG web of trust non è utile, perché il mio è attualmente vuoto e non so da dove iniziare a costruirlo.