Я, наверное, один из немногих шапочников-фольгистов, который проверяет оригинальность скачанных iso дистрибутивов (если они не на 5 минут посмотреть в виртуалке).
Debian, openSUSE в доступной форме описывают и выкладывают публичные части ключей, которыми подписываются релизы. Соответственно, проблемы взять их и верифицировать - нет.
«Обычно» (для меня) это подписанный файл sha-суммы исошника. Валидна его подпись - считаем валидным исошник при совпадении sha-суммы в нем прописанной.
Но в Calculate linux найти так просто не смог. Как мне верифицировать, что скачано? На слово джентельменам верить можно было в 18 веке.