Estoy descargando Ubuntu Linux y me gustaría asegurarme de que mi descarga no haya sido manipulada.
Ubuntu tiene una clave GPG, que podría usar para asegurarme de que la descarga sea válida, pero ¿cómo validar la clave? Desafortunadamente, la clave parece estar disponible solo a través de hkp, ¡lo que no es un protocolo seguro!
La clave GPG está firmada, pero ¿cómo verifico esas claves?
Las instrucciones de Ubuntu para verificar la descarga no son útiles a menos que la clave pública para verificar las firmas esté disponible de forma segura. La red de confianza de GPG no es útil, porque la mía está actualmente vacía y no sé dónde empezar a construirla.