Windows 11:ssä voit tarkistaa Linux-ISO:n aitouden ja eheyden ihan yhtä hyvin kuin Linuxissa — vain eri työkaluilla.
Alla selkeät vaiheet.

🔒 1. Lataa vain virallisesta lähteestä

Tämä on tärkein askel.

Esimerkkejä:

• Ubuntu: https://ubuntu.com/download

• Debian: https://www.debian.org/CD/http-ftp/

• Fedora: https://getfedora.org

• Arch Linux: https://archlinux.org/download/

Älä lataa mitään epävirallisilta sivuilta (esim. kolmannen osapuolen "ISO download" -sivustoilta).

🧮 2. Tarkista tiedoston tiiviste (SHA256)

Useimmilla Linux-jakeluilla on virallinen SHA256SUMS-tiedosto, josta löytyy tarkistusnumero.

Vaiheet Windowsissa:

1. Avaa PowerShell.

2. Siirry siihen kansioon, johon .iso-tiedosto tallentui:

   cd "C:\Users\Käyttäjä\Lataukset"

3. Laske tarkiste:

   Get-FileHash .\ubuntu-24.04-desktop-amd64.iso -Algorithm SHA256

4. Vertaa tulosta virallisen sivuston ilmoittamaan arvoon
   (esim. Ubuntu-sivulla "SHA256SUMS"-tiedostossa).

Jos luvut täsmäävät ➜ tiedosto on ehjä eikä sitä ole muokattu ✅

🪪 3. Tarkista allekirjoitus (PGP/GPG) – valinnainen mutta paras tapa

Jos haluat olla täysin varma, että tiedosto on julkaistu oikeasti kehittäjän toimesta, voit tarkistaa myös GPG-allekirjoituksen.

Näin teet sen Windowsissa:

1. Lataa ja asenna Gpg4win (sisältää gpg.exe).

2. Lataa Linux-jakelun:

   • SHA256SUMS

   • SHA256SUMS.gpg (tai .sig)

3. Avaa PowerShell tai cmd ja mene latauskansioon:

   cd "C:\Users\Käyttäjä\Lataukset"

4. Tuo julkaisijan julkinen avain (esim. Ubuntulle):

   gpg --keyserver hkps://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092

5. Vahvista allekirjoitus:

   gpg --verify SHA256SUMS.gpg SHA256SUMS

Jos saat ilmoituksen:

Good signature from "Ubuntu CD Image Automatic Signing Key ..."

→ kaikki on kunnossa ✅

🧠 Tiivistetysti

Tarkistus Työkalu Windowsissa Tarkoitus
SHA256SUM Get-FileHash (PowerShell) Varmistaa tiedoston eheyden
GPG gpg (Gpg4winin mukana) Varmistaa tiedoston alkuperän 

Linux koneella tarkistus

Kun lataat Linux-jakelun (esim. Ubuntu, Debian, Fedora, Arch jne.), voit varmistaa sen aitouden ja eheyden vertaamalla lataamasi tiedoston tarkistetta (checksum) ja/tai PGP-allekirjoitusta alkuperäiseen lähteeseen.

Tässä on vaiheittainen ohje:

🧩 1. Tarkista latauslähde

• Lataa aina vain viralliselta sivustolta.

  • Esim.

    • Ubuntu: https://ubuntu.com/download

    • Debian: https://www.debian.org/CD/http-ftp/

    • Fedora: https://getfedora.org

  • Vältä kolmansien osapuolien sivuja (erityisesti jos niissä on mainoksia tai outoja URL-osoitteita).

🧮 2. Tarkista tiedoston tiiviste (checksum)

Jokainen jakelu julkaisee tiedostojen SHA256SUM (tai joskus MD5SUM, SHA1SUM) -tiedoston.

1. Lataa .iso ja sen mukana tuleva SHA256SUMS-tiedosto.

2. Aja terminaalissa:

   sha256sum nimi.iso

3. Vertaile tulosta virallisessa SHA256SUMS-tiedostossa olevaan arvoon.

Jos ne täsmäävät, tiedosto ei ole muuttunut latauksen aikana.

🪪 3. Vahvista allekirjoitus (PGP/GPG)

Tämä vaihe varmistaa, että tiedoston on julkaissut oikea kehittäjä, ei vain että se ei ole korruptoitunut.

1. Lataa myös allekirjoitustiedosto, yleensä SHA256SUMS.gpg tai .sig.

2. Hanki julkaisijan GPG-avain (löytyy jakelun sivulta, esim. gpg --keyserver hkps://keyserver.ubuntu.com --recv-keys <avaimen_id>).

3. Tarkista allekirjoitus:

   gpg --verify SHA256SUMS.gpg SHA256SUMS

Jos saat tuloksen kuten:

gpg: Good signature from "Ubuntu CD Image Automatic Signing Key ..."

niin kaikki on kunnossa ✅

Jos tulee varoituksia "BAD signature" tai "key not trusted", älä asenna ennen kuin varmistat, että käytät oikeaa avainta.

🧠 Yhteenveto

Tarkistus Mitä se varmistaa Työkalu
SHA256SUM Tiedoston eheys (ei vioittunut tai muutettu) sha256sum
GPG-allekirjoitus Tiedoston alkuperä (aito kehittäjä) gpg