La forma recomendada para averiguar qué clave pública necesita verificar El hash de Ubuntu consiste en intentar verificar una firma del archivo de hash (ambos descargados de forma clara). Esto produce un error que indica qué clave se usó para firmar los hashes:
gpg: Signature made Thu Apr 5 22:19:36 2018 EDT using DSA key ID FBB75451
gpg: Can't check signature: No public key
gpg: Signature made Thu Apr 5 22:19:36 2018 EDT using RSA key ID EFE21092
gpg: Can't check signature: No public key
Mi pregunta es: si todo se descarga en texto simple y un atacante puede modificar la ISO y el archivo hash, ¿no podrían también firmar el archivo hash con su propia clave pública y luego publicar esa clave en el servidor de claves? Descargaría su firma, lo que provocaría un error en su clave, que descargaría ingenuamente desde el servidor de claves. ¿No necesito al menos tener acceso seguro a la ID de clave para su clave pública?
¿Cómo puedo descargar lubuntu de forma segura si aún no tengo las claves de firma de Ubuntu en mi máquina?