Você precisa verificar se o hash combina com a imagem baixada e, em seguida, verificar se o hash foi assinado por uma chave oficial do Debian - como explicado em esta postagem no blog .
- Faça o download de sua imagem de CD, um hash SHA 512 e a assinatura de hash. Não importa de onde você os tira, por causa da assinatura que verificamos abaixo. Mas você pode obtê-lo em debian.org .
-
Verifique se o hash corresponde à imagem (nenhum desses comandos deve imprimir nada):
$ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt $ diff -q my_hash.txt SHA512SUMS.txt -
Verifique se o hash está devidamente assinado. Você provavelmente terá que fazer isso duas vezes: uma vez para obter a ID da chave e novamente depois de ter baixado a chave pública. A saída do comando deve se parecer muito com isso:
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B gpg: Can't check signature: public key not found $ gpg --keyserver keyring.debian.org --recv 6294BE9B gpg: requesting key 6294BE9B from hkp server keyring.debian.org gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1) $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B gpg: Good signature from "Debian CD signing key <[email protected]>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B -
Verifique se a impressão digital da chave (a última linha impressa) é legítima. Idealmente, você deve fazer isso por meio de uma teia de confiança . No entanto, você pode verificar a impressão digital da chave em relação às chaves listadas no site seguro do Debian (HTTPS).