Das sagt zumindest die Signatur für die Prüfsummen zu den ISO Dateien:
Code: Alles auswählen
gpg --verify SHA256SUMS.sign
gpg: die unterzeichneten Daten sind wohl in 'SHA256SUMS'
gpg: Signatur vom Sa 09 Okt 2021 22:54:22 CEST
gpg: mittels RSA-Schlüssel DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Korrekte Signatur von "Debian CD signing key <debian-cd@lists.debian.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B
https://www.debian.org/CD/verifyUm das Leben für unsere Benutzer einfacher zu machen, hier die Fingerabdrücke der Schlüssel, die für Veröffentlichungen in den letzten Jahren genutzt worden sind:
Das Problem:
Der neue Key vom 9.Oktober 2021 des "Debian CD signing key" Teams ist da gar nicht aufgelistet. Da sind nur die alten Keys aufgelistet.
Der Letzte Key, den ich in meiner Keyliste von diesem "Debian CD signing key" Team habe ist vom 5.1.2011. Diese werden von den neuen Signaturdateien aber nicht benutzt:
Code: Alles auswählen
pub rsa4096 2011-01-05 [SC]
DF9B9C49EAA9298432589D76DA87E80D6294BE9B
uid [ unbekannt ] Debian CD signing key <debian-cd@lists.debian.org>
sub rsa4096 2011-01-05 [E]
pub rsa4096 2009-10-03 [SC]
10460DAD76165AD81FBC0CE9988021A964E6EA7D
uid [ unbekannt ] Debian CD signing key <debian-cd@lists.debian.org>
Und dann frage ich mich, warum solche neuen Keys nicht über signierte apt Pakete upgedated werden?
Sobald eine Installation also ein paar Jahre alt ist und immer nur auf die neue Distriversionversion upgegradet wurde, muss man jetzt für neue Keys sich über Webseite und FTP Server irgendwelche "dubiosen" Keys holen, nur weil man bei Debian nicht in der Lage ist, die bereits vertrauenswürdige Paketbasierte Signierungsinfrastruktur zu nutzen.
Oder gibt's da ein Paket, das man manuell installieren muss um die neuen Keys zu erhalten?
Ebenso hätte man ja mit einem alten "Debian CD signing key" eine neuen "Debian CD signing key" signieren können. Das wird aber scheinbar auch nicht genutzt.