https://mirror.aarnet.edu.au/pub/xubunt ... 4/release/
我想使用GPG验证这个xubuntu镜像的数字签名， 可是不知道这个公钥在那，官网找了下，没找到。我是刚学着用GPG的。通过网络，自己已经把自己的公钥上传到公钥公共服务器了，可以搜到。但教程中的签名验证，中说是要导入其它人的公钥才能验证文件签名，说公钥一般在网站很容易找到，可我没找到哟。谁指点下我呀：） GPG这样的加解密，签名软件，是匿名，隐私保护的最底层，这个应该符合本群主题。

Index of http://mirror.aarnet.edu.au/pub/xubuntu ... 4/release/ - Updated daily
AARNet's CDN. Hundreds of archives. Nearly 100 petabytes downloaded.

从我接触到的信息来看，linux软件都是有一套数字签名验证，加密解 的机制的，
我从网上自学了下，相关。
但在实际使用中，还是有上面这个困惑，不清楚在哪找官方系统镜像的公钥。

0. 下载 ISO
1. 下载 SHA256SUMS SHA256SUMS.gpg
2. gpg --verify SHA256SUMS.gpg SHA256SUMS
3. 如提示找不到公钥 XXXXXXX，gpg --keyserver keyserver.ubuntu.com --recv-key XXXXXXX。获取到公钥后再次运行 2.
4. 验证成功后即可 sha256sum -c SHA256SUMS

参考 https://help.ubuntu.com/community/VerifyIsoHowto

1，早上你一回复我邮件就马上收到提醒了，当时就看了，在没了解，实践时，回复纯属浪费大家时间，所以并未急着回复。
2，感觉感谢，你的回复帮我解决了困惑。已经验证成功了。注1.
3，真小众的好东西，中文相关内容像是科普，还是得看英文，谢谢你之前给的英文出处。
交流这个的人好少哟，好不容易学会了，都没地方去实践，交流。还好telegram上有频道聊这些匿名，加密相关。可惜还是少。
，，，，，，，，，
注1.您是否相信这位用户有能力验证其他用户密钥的有效性(查对身份证、通过不同的渠道检查
指纹等)？

1 = 我不知道或我不作答
2 = 我不相信
3 = 我勉强相信
4 = 我完全相信
s = 跳过这把密钥
q = 退出

您的决定是什么？ 3
gpg: 深度：1 有效性： 2 已签名： 0 信任度：0-，0q，0n，2m，0f，0u
gpg: 下次信任度数据库检查将于 2019-05-15 进行
usr@bjb:~/下载$ gpg --update-trustdb
gpg: 需要 3 份勉强信任和 1 份完全信任，PGP 信任模型
gpg: 深度：0 有效性： 1 已签名： 2 信任度：0-，0q，0n，0m，0f，1u
gpg: 深度：1 有效性： 2 已签名： 0 信任度：0-，0q，0n，2m，0f，0u
gpg: 下次信任度数据库检查将于 2019-05-15 进行
usr@bjb:~/下载$ gpg --verify SHA256SUMS.gpg SHA256SUMS
gpg: 于 2016年04月21日 星期四 18时05分03秒 CST 创建的签名，使用 DSA，钥匙号 FBB75451
gpg: 完好的签名，来自于“Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>”
gpg: 于 2016年04月21日 星期四 18时05分03秒 CST 创建的签名，使用 RSA，钥匙号 EFE21092
gpg: 完好的签名，来自于“Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>”
，，，，，，，，，，，，，

pgp我一般用来加密文件或者邮件，应用程序还没试过，参考： http://teliute.org/linux/TeUbt/lesson59/lesson59.html