LinuxカーネルのOpenPGPキーは
http://www.kernel.org/signature.html
に常に公開される。
このOpenPGPキーはすべてのバージョンのGnuPGで利用可能。(GnuPG5.0も含む、また1.0.6以上が良い)
gpgコマンドを使ってダウンロードしたものが正しいか調べることになるが、その前にやっておくことは、 gpg --import でキーを入手すること。 キーは PGPキーサーバーにある。
たとえば
hkp://wwwkeys.pgp.net/0x517d0f0e ( http://wwwkeys.pgp.net:11371/pks/lookup?op=get&search=0x517D0F0E)
このキーサーバから自分のマシンにインポートするには
gpg --keyserver wwwkeys.pgp.net --recv-keys 0x517D0F0Eを実行する。
その後、ダウンロードしたカーネルのtarball を調べるには
gpg --verify linux-2.3.9.tar.gz.sign linux-2.3.9.tar.gzのようになる
Ketchup を使う場合にも、キーをインポートしておくと自動的にチェックしてくれる。