Il modo consigliato per scoprire quale chiave pubblica è necessario verificare gli hash di Ubuntu è quello di provare a controllare una firma del file hash (entrambi sono stati scaricati in chiaro). Questo produce un errore che indica quale chiave è stata utilizzata per firmare gli hash:
gpg: Signature made Thu Apr 5 22:19:36 2018 EDT using DSA key ID FBB75451
gpg: Can't check signature: No public key
gpg: Signature made Thu Apr 5 22:19:36 2018 EDT using RSA key ID EFE21092
gpg: Can't check signature: No public key
La mia domanda è: se tutto viene scaricato in chiaro e un utente malintenzionato può modificare l'ISO e il file hash, non potrebbe anche firmare il file hash con la propria chiave pubblica e quindi pubblicare quella chiave sul server delle chiavi? Scaricherei la loro firma che farebbe un errore nella loro chiave che scaricherò ingenuamente dal server delle chiavi. Non è necessario avere almeno un accesso sicuro all'ID della chiave per la loro chiave pubblica?
Come posso scaricare Lubuntu in modo sicuro se non ho già le chiavi di firma di Ubuntu sulla mia macchina?