Infelizmente, parece não haver uma maneira melhor de autenticar as imagens:
- todos os arquivos envolvidos são baixados no mesmo canal;
- a chave usada para assinar o arquivo
SHA256SUMS
não está disponível na versão anterior do Devuan; - a chave, conforme fornecida no chaveiro, não é assinada por nenhuma outra chave;
- a chave, conforme publicada nos servidores de chaves, está assinada , mas não está no cenário strong, e nenhuma das assinaturas vem de chaves que estão no chaveiro da versão anterior do Devuan.
O fato de que a mesma chave está disponível nos servidores de chaves e no chaveiro publicado pode ser interpretado como fornecendo mais garantias, mas eu não tenho certeza se isso é verdade, pois ainda não sabemos se o proprietário é uma versão legítima do Devuan. signatário.