La comprobación de las sumas de verificación mediante MD5 o SHA-1 es una realidad desde hace años, pero si algo aprendimos de los recientes ataques a Linux Mint y Transmissión es que incluso eso puede no ser suficiente. Nada impide a un atacante manipular también las sumas de verificación para que coincidan. Para evitar esto y proporcionar un grado de seguridad mayor se inventaron las firmas GPG en la verificación de software, que nos permite comprobar que los archivos que estamos descargando son auténticos.
Comentarios
En Debian hace siglos que los paquetes vienen firmados. ¿En Mint no?