Tino's questions

Estou executando Devuan Jessie. Eu quero instalar outro Devuan Ascii do zero. Então baixei:

• https://files.devuan.org/devuan_ascii/installer-iso/devuan_ascii_2.0.0_amd64_netinst.iso
• https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS
• https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS.asc
• https://files.devuan.org/devuan_ascii/devuan-devs.gpg
  • Atualização: já está disponível em https://files.devuan.org/devuan-devs.gpg

Mas eu não encontrei nenhuma maneira de autenticar devuan-devs.gpg.

Outras distribuições como Debian ou Ubuntu ou similares me permitem verificar o ISO de uma versão anterior existente.

Mas para o Devuan, não encontrei nenhuma maneira:

tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-archive-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found

tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --keyring ../devuan-devs.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Good signature from "Vincenzo (KatolaZ) Nicosia <[email protected]>"
gpg:                 aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg:                 aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg:                 aka "KatolaZ <[email protected]>"
gpg:                 aka "Enzo Nicosia <[email protected]>"
gpg:                 aka "Enzo Nicosia -- KatolaZ <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8E59 D6AA 445E FDB4 A153  3D5A 5F20 B3AE 0B5F 062F

Como a "chave não é certificada", não há indicação de que a chave não seja falsa. Como essa cadeia de confiança quebrada pode ser consertada?

https://devuan.org/os/documentation/dev1fanboy/general-information também não resolve este enigma.

Notas:

devuan-devs.gpgprovavelmente não é falso. No entanto, esta suposição não ajuda. Deve haver alguma maneira de garantir, não é falso. O problema inicial do Hen-Egg já está resolvido, pois Devuan (Jessie) já corre ao meu lado.

Certamente existe uma maneira melhor de autenticar o ISO do Ascii do que atualizar Jessie para Ascii. Certo?