Como verificar a integridade ISO da Debian?

8

Eu baixei recentemente o Debian 7.5.0 Wheezy e consegui usar a assinatura Release.sig para verificar a integridade do arquivo da soma de verificação da versão usando o GPG4Win. Infelizmente, não consegui encontrar nenhum conselho sobre onde encontrar a soma de verificação md5 / SHA1 / SHA256 dentro do arquivo Release para verificar se o ISO está correto / se não foi corrompido / manipulado. Não foi possível encontrar ajuda sobre esse problema específico nos sites de suporte. Estou usando o Windows 7, se isso for relevante.

Edit: O nome do meu arquivo ISO é "debian-7.5.0-amd64-netinst". Outras versões podem ser encontradas aqui ( ftp://cdimage.debian.org/ cdimage / release / 7.5.0-live / amd64 / iso-hybrid / ) e oferece uma maneira mais fácil de verificar a integridade devido a este arquivo: ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . Preciso encontrar algo parecido com isso no arquivo de versão que verifiquei.

    
por user295031 23.06.2014 / 01:59

2 respostas

5

Você precisa verificar se o hash combina com a imagem baixada e, em seguida, verificar se o hash foi assinado por uma chave oficial do Debian - como explicado em esta postagem no blog .

  1. Faça o download de sua imagem de CD, um hash SHA 512 e a assinatura de hash. Não importa de onde você os tira, por causa da assinatura que verificamos abaixo. Mas você pode obtê-lo em debian.org .
  2. Verifique se o hash corresponde à imagem (nenhum desses comandos deve imprimir nada):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
    $ diff -q my_hash.txt SHA512SUMS.txt
    
  3. Verifique se o hash está devidamente assinado. Você provavelmente terá que fazer isso duas vezes: uma vez para obter a ID da chave e novamente depois de ter baixado a chave pública. A saída do comando deve se parecer muito com isso:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Can't check signature: public key not found
    $ gpg --keyserver keyring.debian.org --recv 6294BE9B
    gpg: requesting key 6294BE9B from hkp server keyring.debian.org
    gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported
    gpg: no ultimately trusted keys found
    gpg: Total number processed: 1
    gpg:               imported: 1  (RSA: 1)
    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Good signature from "Debian CD signing key <[email protected]>"
    gpg: WARNING: This key is not certified with a trusted signature!
    gpg:          There is no indication that the signature belongs to the owner.
    Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
    
  4. Verifique se a impressão digital da chave (a última linha impressa) é legítima. Idealmente, você deve fazer isso por meio de uma teia de confiança . No entanto, você pode verificar a impressão digital da chave em relação às chaves listadas no site seguro do Debian (HTTPS).

por 10.03.2016 / 00:07
3

Veja o link

O netinst ISO está em link .

Você pode encontrar o md5sum no link .

A linha relevante é:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso
    
por 23.06.2014 / 20:16