<div dir="ltr">An "open" script with an encrypted checksum? What's to stop someone compromising this script during transport? You have recreated *exactly* the same problem, just a level higher.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On 15 September 2015 at 20:27, Ryein Goddard <span dir="ltr"><<a href="mailto:ryein.goddard@gmail.com" target="_blank">ryein.goddard@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">That part is easy because it could be a open script with probably less then 10 lines of code.</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Sep 15, 2015 at 12:23 PM, J Fernyhough <span dir="ltr"><<a href="mailto:j.fernyhough@gmail.com" target="_blank">j.fernyhough@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>And how would you know the Ubuntu-branded downloader is secure?<br><br></div>I think you're over-complicating things here. Anyone interested in verifying a download is correct can verify the posted SHAsum, and anyone really concerned could install from a netboot  (mini.iso), check its seed file, and download all packages from a known repo.<br><br></div>If you are concerned about an installer download becoming compromised during transport then you should also be concerned about the apt transport used - I'm assuming you set your deb sources to https? If not, then a 'secure' installer image is moot.<span><font color="#888888"><br><br></font></span></div><span><font color="#888888">J<br><div><div><br><br></div></div></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On 15 September 2015 at 20:10, Ryein Goddard <span dir="ltr"><<a href="mailto:ryein.goddard@gmail.com" target="_blank">ryein.goddard@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">You could add multiple sources that store an encrypted checksum and then reference that with an Ubuntu branded downloader.  That program would be pretty easy to make and it would abstract away all requirements for anything time consuming from the user.</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Sep 15, 2015 at 3:53 AM, Ralf Mardorf <span dir="ltr"><<a href="mailto:ralf.mardorf@alice-dsl.net" target="_blank">ralf.mardorf@alice-dsl.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, 14 Sep 2015 15:07:02 -0700, Ryein Goddard wrote:<br>
<span>>On Mon, Sep 14, 2015 at 10:32 AM, Ralf Mardorf wrote:<br>
>> On Mon, 14 Sep 2015 16:19:36 +0000 (UTC), rajeev bhatta wrote:<br>
>> >It is not time consuming.. just for the user experience..<br>
>><br>
</span><span>>> IMHO for averaged users it is time consuming. Even a power users not<br>
>> necessarily deals with the right people to get a key she or he can<br>
>> trust, that can be used to verify ownership of the particular<br>
>> public Ubuntu key.<br>
>><br>
>> I am a Linux power user and I don't own a key to verify the<br>
>> particular public key, that belongs to the key, that was used to<br>
>> sign the Ubuntu images.<br>
>><br>
>> Please let me know, how I can get such a key, without spending much<br>
>> time ;).<br>
><br>
</span><span>>If a current method doesn't exist then maybe we can just create one?<br>
<br>
</span>How will you make it less time consuming?<br>
<br>
You need to meet other people in the real world, in addition you<br>
need to know and trust those people and in addition they need to trust a<br>
chain of trusted keys, that confirms ownership of the public Ubuntu key<br>
in question. <a href="https://en.wikipedia.org/wiki/Web_of_trust" rel="noreferrer" target="_blank">https://en.wikipedia.org/wiki/Web_of_trust</a><br>
<br>
This already is hard to realise for hardcore computer geeks and<br>
completely illusorily for those who's centre of life isn't the<br>
operating system of their computers or digital security.<span><font color="#888888"><br>
<div><div><br>
--<br>
Ubuntu-devel-discuss mailing list<br>
<a href="mailto:Ubuntu-devel-discuss@lists.ubuntu.com" target="_blank">Ubuntu-devel-discuss@lists.ubuntu.com</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/ubuntu-devel-discuss" rel="noreferrer" target="_blank">https://lists.ubuntu.com/mailman/listinfo/ubuntu-devel-discuss</a><br>
</div></div></font></span></blockquote></div><br></div><span class="HOEnZb"><font color="#888888">
<br>--<br>
Ubuntu-devel-discuss mailing list<br>
<a href="mailto:Ubuntu-devel-discuss@lists.ubuntu.com" target="_blank">Ubuntu-devel-discuss@lists.ubuntu.com</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/ubuntu-devel-discuss" rel="noreferrer" target="_blank">https://lists.ubuntu.com/mailman/listinfo/ubuntu-devel-discuss</a><br>
<br></font></span></blockquote></div><span class="HOEnZb"><font color="#888888"><br></font></span></div><span class="HOEnZb"><font color="#888888">
</font></span></div></div><span class="HOEnZb"><font color="#888888"><br>--<br>
Ubuntu-devel-discuss mailing list<br>
<a href="mailto:Ubuntu-devel-discuss@lists.ubuntu.com" target="_blank">Ubuntu-devel-discuss@lists.ubuntu.com</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/ubuntu-devel-discuss" rel="noreferrer" target="_blank">https://lists.ubuntu.com/mailman/listinfo/ubuntu-devel-discuss</a><br>
<br></font></span></blockquote></div><br></div>
</blockquote></div><br></div>