Ich installiere NetBSD einfach von einem ISO-Image in VirtualBox.
Offizielle Quelle ISO-Medienenthält nur MD5/SHA512-Summen.
Ähnlichpkg_add Binärpaket-Repositoryenthält nur SHA512-Summen.
Sowohl die FTP- als auch die HTTP-Verteilungskanäle sind ungesichert und die Prüfsummen der Dateiübertragung können verändert werden.
Wird vom NetBSD-Projekt eine digitale Signatur verwendet?
pkg_addWie werden bei Verwendung Prüfungen auf Paketintegrität erzwungen ?
Antwort1
APGP-signierte Liste von Hashesist verfügbar und deckt alle Release-Dateien ab. Der zum Signieren verwendete PGP-Schlüssel ist im Web of Trust gut verankert.