Nenhum dos arquivos assinados por gpg que encontrei contendo hashes para vários arquivos iso do Ubuntu contém um hash para os arquivos mini.iso. Os únicos hashes para os arquivos mini.iso que encontrei são md5sums simples na mesma página com os links para os próprios arquivos:https://help.ubuntu.com/community/Installation/MinimalCD
Essa página é pelo menos https. Pelo que sei, os arquivos reais nem sequer têm essa proteção mínima. Sério, pessoal, espero que vocês me indiquem uma página que estou perdendo com hashes assinados por gpg, de preferência uma que aceite https. Porque se não, isso é realmente muito chato para o final de 2016, você não acha? Demonstrou-se que os Md5sums são inseguros há vários anos e mesmo se ignorarmos isso, por que diabos eles são excluídos das listas assinadas pelo gpg? Por favor, diga-me que estou negligenciando algo.
Responder1
O Ubuntu sempre fornece arquivos hash assinados nos servidores de download. Dentro de cada diretório de imagem, existem vários arquivos hash com assinaturas correspondentes. Um exemplo de listagem paraUbuntu 16.04 LTS AMD64:
[ ] MANIFEST 2016-08-10 19:07 1.0K
[ ] MANIFEST.udebs 2016-08-10 19:07 23K
[ ] MD5SUMS 2016-08-10 19:07 3.0K
[ ] MD5SUMS.gpg 2016-08-10 19:07 933
[ ] SHA1SUMS 2016-08-10 19:07 3.3K
[ ] SHA1SUMS.gpg 2016-08-10 19:07 933
[ ] SHA256SUMS 2016-08-10 19:07 4.2K
[ ] SHA256SUMS.gpg 2016-08-10 19:07 933
[DIR] cdrom/ 2016-08-10 19:07 -
[DIR] hd-media/ 2016-08-10 19:07 -
[DIR] netboot/ 2016-08-10 19:07 -
[ ] udeb.list 2016-08-10 19:07 4.3K
O minimal.isoarquivo é armazenado no netbootdiretório.