Bug 30624

Summary: Проверка подлинности образа дистрибутива.
Product: ALT Linux Centaurus Reporter: Владимир Диденко <vladimir.didenko>
Component: УстановкаAssignee: Anton V. Boyarshinov <boyarsh>
Status: NEW --- QA Contact: qa-p7 <qa-p7>
Severity: enhancement    
Priority: P3 CC: mike
Version: не указана   
Hardware: all   
OS: Linux   

Description Владимир Диденко 2015-01-03 12:02:45 MSK
По мотивам 

http://lists.altlinux.org/pipermail/community/2014-December/683269.html

По аналогии с 

https://getfedora.org/verify
https://help.ubuntu.com/community/VerifyIsoHowto

хотелось бы иметь возможность проверить подлинность образ дистрибутива.

Как это видится мне

1. Хотя бы для одного дистрибутива (например, Кентавра) рядом с md5 суммой выкладывается подписанная gpg ключем sha-256 сумма.
2. На одном из официальном ресурсе (altlinux.ru или altlinux.org) поднимается https с сертификатом, которому доверяют основные браузеры.
3. На этом ресурсе размещается инструкция по проверке подлинности образа с ссылкой на открытую часть gpg ключа, который тоже доступен по https. 

Возможно, багу стоит перевесить куда-нибудь на Infrastructure, но я с ходу не сообразил на какой именно компонент.