Warum diese Vorgehensweise und nicht einfach das ISO mit gpg signieren?
Die Signatur des ISOs sagt nichts darüber aus, ob das ISO irgendwelche Fehler enthält. Diese Fehler können durch den Download (99,99%) bzw. aber auch durch Manipulation entstehen.
Deswegen wird nicht das ISO signiert, sondern nur die Checksummendatei, denn wenn das ISO manipuliert wird, stimmt die Checksumme nicht mehr......
Mit der Signatur ist die Checksummendatei gegen Manipulation geschützt.
Glaub ich nicht. Genauso wie die gpg-Signatur der Checksummendatei diese gegen Manipulation schützt, würde auch eine gpg-Signatur der ISO-Datei diese gegen Manipulation schützen. Und man hätte dann keine richtigen aber irreführenden OK-Meldungen von gpg bei maniplierten ISO-Dateien.