Hallo, ich habe Manjaro für ARM unter Manjaro - Raspberry Pi 4 KDE Plasma heruntergeladen. Der SHA1 Wert ist korrekt aber offenbar gibt es keine .sig Datei. Kann ich trotzdem davon ausgehen, dass mir niemand etwas untergeschoben hat? Wie sicher ist der Download? Danke!
Es kommt drauf an wem du vertraust. Wenn du der Quelle des SHA1 Wertes nicht vertraust, kannst du nicht davon ausgehen, dass das Image in Ordnung ist.
Andererseits, wie wahrscheinlich ist es das ein Angreifer den Manjaro-Arm GitHub Account übernommen hat, vor 10 Tagen etwas hochgeladen hat das noch keiner bemerkt hat und gleichzeitig die Manjaro Website übernommen hat um den Sha1 Wert zu ändern?
Wahrscheinlicher ist es wohl, dass jemand nur den GitHub Account übernommen hat und ein anderes Image mit dem selben SHA1 hochgeladen hat.
Alles nicht ausgeschlossen aber doch eher unwahrscheinlich. Kommt sehr auf deine Risikoabschätzung an und in welchem Bereich und mit welchen Daten du den Pi betreiben willst.