Pierre schriebHier fehlt z.B. noch eine Anleitung zur Überprüfung der Signatur; zumindest unter Arch einfach via "pacman-key -v blah.iso.sig".
------------------
Überprüfung der Signatur des Install-Mediums
(die PGP-Signatur (*.sig) muß sich im gleichen Ordner befinden, in dem auch das runtergeladene *.iso befindet)
* Innerhalb Archlinux mit bereits eingerichteter Paketsignierung:
# pacman-key -v archlinux-2012.07.15-netinstall-dual.iso.sig
Sollte ergeben ein:
gpg: Korrekte Signatur von "Unterzeichner", wobei Unterzeichner einer der Entwickler sein muß, die sich schon im pacman-Schlüsselring befinden und denen über die pacman MasterKeys vertraut wird.
* Außerhalb Archlinux:
* Linux
# gpg --verify archlinux-2012.07.15-netinstall-dual.iso.sig
gpg: Signatur vom So 15 Jul 2012 16:19:46 CEST mittels RSA-Schlüssel ID 9741E8AC
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
Die unterzeichnende Schlüssel-ID muß einer der Archlinux-Entwickler sein. Die ID und der Name müssen sich auf der
Archlinux-Masterkeys-Seite finden lassen. Diesen Schlüssel von einem Keysserver importieren:
# gpg --recv-keys 9741E8AC
# gpg --verify archlinux-2012.07.15-netinstall-dual.iso.sig
gpg: Signatur vom So 15 Jul 2012 16:19:46 CEST mittels RSA-Schlüssel ID 9741E8AC
gpg: Korrekte Signatur von "Pierre Schmitz <pierre at archlinux dot de>"
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = 4AA4 767B BC9C 4B1D 18AE 28B7 7F2D 434B 9741 E8AC
Um die Signatur letztendlich zu verifizieren sollte der Haupt-Fingerabdruck mit dem vom Unterzeichner auf der Archlinux-Masterkeys-Seite abgeglichen werden. In der PGP-Key Spalte die entsprechende Key-ID raussuchen und dem Link folgen. Im Falle von
Pierres Key-ID ist der angezeigte Finger-Print mit der Ausgabe von gpg --verify zu vergleichen.
------------------
(Wäre halt die Frage, ob imer der gleiche die ISOs signiert oder ob es evtl. sogar einen eigenen Key dafür gäbe)