A verificação não é necessariamente o processo mais direto, dependendo de quão infalível ou paranóico (para usar o vernáculo) você quer ser.
Quando você faz o download de um ISO, geralmente também será oferecido um hash para verificar o download.
Se não, na página de download do Ubuntu, há um link direto; acesse a pasta pai: link
Os arquivos de soma SHA-256 estão lá, com as assinaturas para verificar as listas de soma
Etapa 1
gpg2 --verify SHA256SUMS.gpg SHA256SUMS
isto retornará alguma saída
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using DSA key ID FBB75451
gpg: Can't check signature: No public key
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using RSA key ID EFE21092
As impressões digitais chave estão no final; agora você precisa importá-los de um servidor de chaves
Etapa 2
Importar chaves do servidor de chaves
gpg2 --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys FBB75451 EFE21092
que confirmará o que você deseja saber:
gpg: key EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported
gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key <[email protected]>" imported
gpg: marginals needed: 3 completes needed: 1 trust model: PGP
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: Total number processed: 2
gpg: imported: 2
Etapa 3
Você agora pode executar novamente o comando de verificação
gpg2 --verify SHA256SUMS.gpg SHA256SUMS
Você receberá avisos sobre assinaturas confiáveis se nunca tiver expandido uma rede de confiança antes. Se você confiar nas impressões digitais recebidas do servidor de chaves, tudo bem. Se você está procurando ir a milha extra, você pode pedir a alguém com uma teia de confiança estendida para verificar para você; procure em Key Signing Events e gpg web of trust para mais informações.
Etapa 4
Depois de fazer o download do ISO desejado, execute a ferramenta de soma de verificação:
sha256sum your_distro.iso
Verifique se a soma corresponde àquela do site, ou no arquivo ou SHA256SUM (que será apenas um arquivo de texto com as somas de verificação dentro dele).
Preocupações do link reddit
Para as preocupações relativas a sites ISO que não usam HTTPS: o servidor é um servidor conhecido e o conteúdo é conhecido. Criptografar isso é desnecessário, o HTTPS é mais adequado para o sigilo de comunicação e para a integridade dos dados.
Se os arquivos estiverem comprometidos, digamos que nos discos rígidos do servidor precisamos de algo mais: por isso, estamos verificando a autenticidade e a integridade dos dados em repouso usando as assinaturas.
Para as preocupações sobre as chaves e impressões digitais , primeiro um aviso: o seguinte explica o que é geralmente entendido, com ressalvas, é claro. Isto não é um conselho de segurança profissional, mas um discurso mais atual.
A única coisa que você realmente precisa ter certeza é que você confia nas chaves recebidas do servidor de chaves , e é aí que entra a rede de confiança.
Se um amigo ou colega seu já estabeleceu uma cadeia de confiança que possa verificar as impressões digitais e você confia nessa pessoa, então pode confiar na impressão digital.
A maneira de um homem pobre de ter certeza é verificar sites e fóruns diferentes e variados para ver se as impressões digitais correspondentes ao que foi visto e encontrado por meio de outros sites.
Se um invasor de fato substituiu os ISOs do Ubuntu por falsificações e substituiu arquivos de assinatura forjados, e conseguiram alternar as chaves no servidor de chaves, você ainda pode ter certeza de que
- as chaves não corresponderão às chaves importadas de outra pessoa (desde que tenham as chaves não comprometidas) (cenário da web de confiança)
- todas as chaves documentadas em fóruns pela rede (como no cenário acima, onde eu colei o que tenho) provavelmente não foram trocadas (a menos que todos os sites tenham sido hackeados ou as chaves tenham sido trocadas muito antes de alguém começar a documentá-las) em fóruns e saídas de depuração do stackexchange, por exemplo)
Se você quiser saber mais, ler sobre as "lições aprendidas" das consequências do hack do site Linux Mint deve fornecer um bom histórico sobre este assunto.
E sim, o processo de verificação de um ISO deve ser muito mais fácil, eu lhe darei isso.