Вам необходимо убедиться, что хеш соответствует загруженному образу, а затем убедиться, что хеш был подписан официальным ключом Debian - как описано в этой записи блога .
Убедитесь, что хэш соответствует изображению (ни одна из этих команд не должна ничего выводить):
$ sha512sum debian-8.3.0-amd64-i386-netinst.iso> my_hash.txt
$ diff - q my_hash.txt SHA512SUMS.txt
Убедитесь, что хэш подписан правильно. Вероятно, вам придется сделать это дважды: один раз, чтобы получить идентификатор ключа, и еще раз после того, как вы загрузите открытый ключ. Вывод команды должен выглядеть примерно так:
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Подпись сделана 25 января 2016 г., 05:08:46 AEDT с использованием идентификатора ключа RSA 6294BE9B
gpg: не удается проверить подпись: открытый ключ не найден
$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: запрос ключа 6294BE9B от связки ключей сервера hkp .debian.org
gpg: key 6294BE9B: открытый ключ "Ключ подписи компакт-диска Debian (скрытый) импортирован
gpg: окончательно доверенных ключей не найдено
gpg: Всего обработано: 1 { {1}} gpg: import: 1 (RSA: 1)
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Подпись сделана 25 января 2016 г., понедельник, 05:08:46 AEDT с идентификатором ключа RSA 6294BE9B
gpg: Хорошая подпись из «Ключ подписи компакт-диска Debian (скрытый)
gpg: ВНИМАНИЕ: этот ключ не сертифицирован с помощью доверенной подписи!
gpg: Нет никаких указаний на то, что подпись принадлежит владельцу.
Отпечаток первичного ключа: DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B
Убедитесь, что отпечаток ключа (последняя напечатанная строка) является допустимым. В идеале это следует делать через сеть доверия . Однако вы можете сравнить отпечаток ключа с ключами, перечисленными на защищенном веб-сайте Debian (HTTPS).
Если вы реализуете свой собственный OTA с нуля, то да, вы, вероятно, захотите посмотреть, как другие существующие механизмы OTA справляются с этим, поскольку обычно вы используете некоторую комбинацию флагов, чтобы узнать, есть ли обновление, и если вы пробовал обновление.