Im Grunde läuft es darauf hinaus, dass du mit Hilfe von GnuPG die Signatur der Datei "SHA256SUMS" mit Hilfe der signierten Datei "SHA256SUMS.gpg" überprüfst:
glasen@glasen-hardt:[~]: gpg --verify SHA256SUMS.gpg SHA256SUMS
gpg: Unterschrift vom Do 18 Feb 2016 21:16:29 CET mittels DSA-Schlüssel ID FBB75451
gpg: Unterschrift kann nicht geprüft werden: Öffentlicher Schlüssel nicht gefunden
gpg: Unterschrift vom Do 18 Feb 2016 21:16:29 CET mittels RSA-Schlüssel ID EFE21092
gpg: Unterschrift kann nicht geprüft werden: Öffentlicher Schlüssel nicht gefunden
Der Signaturschlüssel entspricht dabei dem Schlüssel mit dem die Pakete der CDs unter Ubuntu signiert sind. Dessen Signatur taucht beim Aufrufen von "apt-key list" auf:
glasen@glasen-hardt:[~]: apt-key list
/etc/apt/trusted.gpg
--------------------
pub 1024D/437D05B5 2004-09-12
uid Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
sub 2048g/79164387 2004-09-12
pub 1024D/FBB75451 2004-12-30
uid Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
pub 4096R/C0B21F32 2012-05-11
uid Ubuntu Archive Automatic Signing Key (2012) <ftpmaster@ubuntu.com>
pub 4096R/EFE21092 2012-05-11
uid Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
Beide Schlüssel kannst du dir in deinen privaten Schlüsselbund importieren:
gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys FBB75451 EFE21092
Danach spuckt GNUPG dann auch folgende Meldung aus:
glasen@glasen-hardt:[~]: gpg --verify SHA256SUMS.gpg SHA256SUMS
gpg: Unterschrift vom Do 18 Feb 2016 21:16:29 CET mittels DSA-Schlüssel ID FBB75451
gpg: Korrekte Unterschrift von »Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>«
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
gpg: Unterschrift vom Do 18 Feb 2016 21:16:29 CET mittels RSA-Schlüssel ID EFE21092
gpg: Korrekte Unterschrift von »Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>«
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092