Kubuntu 是否有 GPG 密钥来证明操作系统映像的真实性?
我看到 Ubuntu 有,但没有看到任何有关[K]ubuntu 的东西。
答案1
是的,使用与其他 Ubuntu 版本相同的密钥进行签名。
例如
下载校验和文件以及分离的签名:
- http://cdimage.ubuntu.com/kubuntu/releases/14.04.2/release/SHA256SUMS
- http://cdimage.ubuntu.com/kubuntu/releases/14.04.2/release/SHA256SUMS.gpg
然后根据预安装的 APT 密钥环进行验证,该密钥环应该包含以下密钥:
⟫ gpg --no-default-keyring --keyring /etc/apt/trusted.gpg --verify SHA256SUMS.gpg SHA256SUMS
gpg: Signature made Thu 19 Feb 2015 23:32:54 CET using DSA key ID FBB75451
gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <[email protected]>"
不要忘记实际验证哈希值。
⟫ sha256sum -c SHA256SUMS
[No such file or directory errors for files you didn't download]
...
kubuntu-14.04.2-desktop-amd64.iso: OK