Come verificare l'integrità ISO di Debian?

10

Di recente ho scaricato Debian 7.5.0 Wheezy e sono riuscito a usare la firma Release.sig per verificare l'integrità del file checksum Release usando GPG4Win. Sfortunatamente, non sono riuscito a trovare alcun consiglio su dove trovare il checksum md5 / SHA1 / SHA256 all'interno del file Release per verificare che l'ISO sia corretto / non sia stato corrotto / manipolato. Non è stato possibile trovare alcun aiuto in merito a questo problema specifico sui siti di supporto. Sto usando Windows 7 se questo è rilevante.

Modifica: il nome del mio file ISO è "debian-7.5.0-amd64-netinst". Altre versioni sono disponibili qui ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) e offrono un modo più semplice per verificare l'integrità grazie a questo file: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . Devo trovare qualcosa del genere nel file di rilascio che ho verificato.

debian  checksum  integrity 
user295031
fonte
C'è qualcuno che mi può aiutare in questo? Poiché questo sembra essere un modo molto complicato di verificare l'integrità, spero in una persona con più esperienza di quella che devo rispondere a questa domanda.
user295031,
Qual è la directory da cui hai scaricato il tuo file? Personalmente, non mi preoccuperei di controllare l'integrità di quel file. Se c'è qualcosa che non va, sarà evidente pdq.
Faheem Mitha,
Viene dal sito ufficiale. La mia versione è amd64: debian.org/distrib/netinst
user295031
2
@FaheemMitha, se sta implementando un sistema mission-critical, è indispensabile un controllo di integrità. Sono un po 'paranoico, quindi è una routine per me anche per i sistemi non critici.
psimon,
A proposito, puoi persino utilizzare il controllo di integrità incorporato dell'installatore. Ma solo dopo averlo verificato con MD5 prima della masterizzazione.
psimon,

Risposte:

7

È necessario verificare che l'hash corrisponda all'immagine scaricata, quindi verificare che l'hash sia stato firmato da una chiave Debian ufficiale, come spiegato in questo post del blog .

  1. Scarica l'immagine del tuo CD, un hash SHA 512 e la firma hash. Non importa da dove li ottieni, a causa della firma che verificheremo di seguito. Ma puoi ottenerlo da debian.org .

  2. Verifica che l'hash corrisponda all'immagine (nessuno di questi comandi dovrebbe stampare nulla):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
$ diff -q my_hash.txt SHA512SUMS.txt

  3. Verifica che l'hash sia correttamente firmato. Probabilmente dovrai farlo due volte: una volta per ottenere l'ID chiave e di nuovo dopo aver scaricato la chiave pubblica. L'output del comando dovrebbe assomigliare molto a questo:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found
$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: requesting key 6294BE9B from hkp server keyring.debian.org
gpg: key 6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

  4. Verificare che l'impronta digitale della chiave (l'ultima riga stampata) sia legittima. Idealmente, dovresti farlo tramite una rete di fiducia . Tuttavia è possibile controllare l'impronta digitale della chiave rispetto alle chiavi elencate sul sito Web sicuro di Debian (HTTPS).

z0r
fonte
Molto utile. Rispetta caldamente di aggiungere un passaggio tra i passaggi 1 e 2 correnti, per leggere qualcosa del tipo: "Copia la riga pertinente dall'hash SHA 512 (se detto file ha più di una riga) e incollala in un nuovo file di testo, denominato SHA512SUMS .testo." Successivamente, nel tuo $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txtpassaggio, suggerisci di modificare il riferimento al SHA512SUMS.txtfile in modo che faccia riferimento al file hash originariamente scaricato, invariato (quello con tutti i dati originali). Disse che i cambiamenti mi avrebbero impedito di scendere in una profonda tana di coniglio scuro ...
Digger,
Nel passaggio 2, qual è lo scopo di farlo nel modo in cui hai scritto rispetto sha512sum -c SHA512SUMS.txt?
cdhowie,
@cdhowie nessun motivo. La tua strada è migliore; sentiti libero di modificarlo
z0r
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.