Puedo verificar que un archivo iso de Ubuntu no esté dañado usando las claves públicas ya presentes y de confianza en mi sistema Ubuntu.
Ahora quiero pasar de Ubuntu a Arch y me pregunto cómo puedo empezar a confiar en que la imagen descargada para la configuración de Arch no ha sido alterada.
Sé que puedo usar funciones hash criptográficas como sha256, sha1, md5 aunque estas se transmiten a través del mismo canal (por lo tanto, un atacante solo cambiaría los hashes para que se ajusten a la iso manipulada).
¿Ahora hay una salida estratégica? es decir, ¿algunas distribuciones firman de forma cruzada sus ISO o claves públicas para que pueda verificar las ISO sin dejar una cadena de confianza que ya compré?
Como alternativa, ¿debería volver a descargar el md5 desde diferentes fuentes, en diferentes máquinas y en diferentes momentos para hacer que un ataque sea más problemático?
¿Es este el procedimiento sugerido?