As versões abertas do BSD não são assinadas usando chaves PGP. Em vez disso, o projeto usa uma ferramenta personalizada criada para significar
para assinar lançamentos.
Mas como os usuários determinam a chave correta sem algo como a rede de confiança PGP?
Em 24 de outubro de 2018, eu me encontrei com 2 desenvolvedores do OpenBSD pessoalmente para verificar a chave de lançamento atual. A mensagem abaixo foi assinada por Theo Bühler <tb[AT]openbsd.org>
(PGP: 0x582F9C0EAA32139A
) e a chave que você vê também foi verificada visualmente letra por letra por Reyk Flöter <reyk[AT]openbsd.org>
(PGP: 0x1A12678032292F9D
).
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
untrusted comment: openbsd 6.4 base public key
RWQq6XmS4eDAcQW4KsT5Ka0KwTQp2JMOP9V/DR4HTVOL5Bc0D7LeuPwA
-----BEGIN PGP SIGNATURE-----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=irX3
-----END PGP SIGNATURE-----
Também verifiquei a chave PGP e o ID do Theo Bühler e assinamos as chaves um do outro para que houvesse um caminho "Web Of Trust" do PGP para sua chave.
Depois de ter a chave correta, você pode usar estas instruções para verificar uma iso usando a ferramenta signify
.