verificando o ubuntu iso com o repositório gpg-keys

Navegue suas respostas
3

Quero verificar se um ISO baixado não está sendo envenenado pela NSA ou por qualquer outro agente imoral. Para fazer isso, eu usaria muito o modo de verificação de assinatura.

Estou ciente de VerifyIsoHowto . Ainda não estou muito feliz com oferecido. Se algum agente puder manipular um download de arquivo, ele certamente poderá manipular todos os downloads de arquivos. Assim, a chave pública que eu recebo de um servidor de chaves pode ser enganada para fazer a verificação do arquivo ISO manipulado, enquanto na verdade foi injetado um rootkit ou algo pior.

Agora estou ciente de que não há 100% de certeza. Mas começando com a suposição de que meu sistema atual é seguro, eu tenho essas chaves usadas no mecanismo SecureApt .

Minha pergunta, portanto:

Como as chaves em que eu já confio no SecureApt (= as chaves comuns do repositório do Ubuntu) podem ser usadas para verificar um ISO baixado recentemente?

Na verdade, também seria útil se eu pudesse, por meio do Ubuntu Repo (e, portanto, de um deb que é verificado implicitamente via SecureApt) obter as chaves públicas que seriam necessárias para verificar a assinatura da iso.

Qualquer ajuda seria muito apreciada.

PS: claro que estou ciente de que, se a Canonical é imoral e colabora com a NSA (que tem dinheiro, ei), todos somos, de qualquer forma, ventosos. Vamos apenas supor que algo assim nunca poderia acontecer, ok?

    
por humanityANDpeace 30.07.2013 / 10:27

2 respostas

6

As etapas a seguir permitem que você verifique o arquivo SHA256SUMS para a iso do Ubuntu baixada:

  1. Abra o Terminal ( CTRL + ALT + T )

  2. Importe as chaves de /usr/share/keyrings/ubuntu-archive-keyring.gpg via gpg --import /usr/share/keyrings/ubuntu-archive-keyring.gpg . Você deveria ver algo assim: 

    gpg: keyring '/root/.gnupg/secring.gpg' created
gpg: key 437D05B5: public key "Ubuntu Archive Automatic Signing Key " imported
gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key " imported
gpg: Total number processed: 2
gpg:               imported: 2
gpg: no ultimately trusted keys found

    A linha 

    gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key " imported

    mostra que você importou a chave GPG para assinar imagens de CD (arquivos iso) é aquela com a seguinte impressão digital: 

    Primary key fingerprint: C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451

    e, portanto, a ID FBB7 5451

  3. Após importar a chave, você pode baixar os arquivos SHA256SUMS, MD5SUMS, SHA1SUMS e suas respectivas assinaturas * SHA256SUMS.gpg, MD5SUMS.gpg

  4. Agora você pode usar este comando gpg --verify SHA256SUMS.gpg SHA256SUMS para verificar se o arquivo SHA256SUMS é legítimo. Se sim, então você deve ver algo assim: 

    gpg: Signature made Thu 14 Feb 2013 06:38:41 PM CET using DSA key ID FBB75451
gpg: Good signature from "Ubuntu CD Image Automatic Signing Key "
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451

    Se o arquivo SHA256SUMS tiver sido alterado, algo assim será exibido: 

    gpg: Signature made Thu 14 Feb 2013 06:38:41 PM CET using DSA key ID FBB75451
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key "

Basicamente, em vez de seguir a etapa 2 do howto mencionado na pergunta e obter a chave do servidor de chaves, que pode ter sido comprometido, você usa a chave fornecida com a sua instalação existente do Ubuntu que você confia.

    
por humanityANDpeace 30.07.2013 / 14:34
0

Isso parece funcionar bem: 

sudo apt-get install ubuntu-keyring
gpgv --keyring=/usr/share/keyrings/ubuntu-archive-keyring.gpg SHA256SUMS.gpg SHA256SUMS
grep ubuntu-14.04-desktop-amd64.iso SHA256SUMS | sha256sum --check
    
por Håkon A. Hjortland 18.04.2014 / 08:30

Tags

Como os aplicativos HTML5 Ubuntu Touch podem acessar a câmera e o microfone? Retomar um processo através de um número PID