Olá a todos. Faz uns dois anos que uso linux no meu notebook em dual boot com Windows 10. Percebi uma burrada que fiz nas primeiras vezes que instalei ISOs: me esqueci de verificar a autenticidade delas. Eu já vi tutoriais de como verificar autenticidade do linux mint( encontrado no seguinte links:How to verify the ISO image on Windows - Linux Mint Forums). Basicamente o processo consiste em baixar a iso juntamente com dois arquivos, o checksum e o checksum.sign.
Após isntalar o GnuPG é necessário importar a chave de algum desenvolvedor da distro e verificar os arquivos checksum.sign e checksum.txt . Se o resultaddo for “Good Signature”, o arquivo é autêntico.
Para garantir a autenticidade da ISO, abrimos o checksum.txt, geramos o hash do arquivo ISO e fazemos a comparação. Como o arquivo checksum é autêntico, ele garante que, se a hash bater com alguma que esteja nele, a ISO é autêntica.
A minha dúvida é o seguinte. Na página de download do Parrot OS não há esses dois arquivos, mas um só: signed-hashes.txt, que é um arquivo com uma lista de hashes e que possui assinatura digital. Eu acho que o modo de verificar é usar o “gpg --verify signed-hashes.txt”, que exibe o seguinte resultado:
Então o passo seguinte seria apenas checar o hash da ISO. Alguém sabe se fiz o processo corretamente?