Vérifier les signatures d'ISO

Je commence à comprendre pourquoi en pratique personne (sauf quelques barbus endurcis) ne vérifie les signatures GPG des ISO qu’il télécharge…
Vérifier les hash une fois qu’on connaît l’outil sha256sum c’est facile (même si bon la page de download qui dit de le faire renvoie vers un lien censé expliquer comment, mais dit juste d’utiliser sha***sum sans plus de précisions ni d’instructions, ce qui est un peu problématique puisque Debian s’ouvre aux débutants maintenant), et remplacer par sha512sum n’est pas compliqué.

Par contre, toujours aucune explication de comment on vérifie les signatures, la page dit juste qu’il faut le faire avec GPG et en utilisant le debian-keyring…

salut

télécharger les 4 fichiers SHA512SUMS.sign SHA512SUMS SHA256SUMS.sign SHA256SUMS + l’iso

gpg --verify SHA512SUMS.sign SHA512SUMS
gpg --verify SHA256SUMS.sign SHA256SUMS
sha512sum -c /tmp/SHA512SUMS --ignore-missing
sha256sum -c /tmp/SHA256SUMS --ignore-missing

les lignes gpg doivent contenir un

gpg: Bonne signature de « Debian CD signing key <debian-cd@lists.debian.org> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.

pour chaque iso, on voit écrit Réussi, exemple :

sha256sum -c /tmp/*SHA256SUMS --ignore-missing
debian-live-11.7.0-amd64-cinnamon+nonfree.iso: Réussi
debian-live-11.7.0-amd64-xfce+nonfree.iso: Réussi