Bagaimana cara memverifikasi integritas ISO Debian?

10

Saya baru-baru ini mengunduh Debian 7.5.0 Wheezy dan berhasil menggunakan tanda tangan Release.sig untuk memverifikasi integritas file checksum Rilis menggunakan GPG4Win. Sayangnya, saya tidak dapat menemukan saran di mana menemukan checksum md5 / SHA1 / SHA256 di dalam file Release untuk memverifikasi bahwa ISO benar / belum rusak / dimanipulasi. Juga tidak dapat menemukan bantuan mengenai masalah khusus ini di situs dukungan. Saya menggunakan Windows 7 jika ini relevan.

Sunting: Nama file ISO saya adalah "debian-7.5.0-amd64-netinst". Versi lain dapat ditemukan di sini ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) dan menawarkan cara yang lebih mudah untuk memverifikasi integritas karena file ini: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . Saya perlu menemukan sesuatu seperti ini di file Rilis yang saya verifikasi.

pengguna295031
sumber
Adakah yang bisa membantu saya dengan ini? Karena ini tampaknya merupakan cara yang sangat rumit untuk memverifikasi integritas, saya berharap seseorang yang memiliki lebih banyak pengalaman daripada saya harus menjawab pertanyaan ini.
user295031
Apa direktori tempat Anda mengunduh file Anda? Secara pribadi, saya tidak akan khawatir memeriksa integritas file tersebut. Jika ada yang salah dengan itu, itu akan menjadi pdq jelas.
Faheem Mitha
Itu dari situs resmi. Versi saya adalah amd64: debian.org/distrib/netinst
user295031
2
@FaheemMitha, jika dia menggunakan sistem mission-critical, maka pemeriksaan integritas adalah suatu keharusan. Saya agak paranoid, jadi ini rutin bagi saya bahkan untuk sistem yang tidak kritis.
psimon
Btw Anda bahkan dapat menggunakan pemeriksa integritas bawaan installer. Tetapi hanya setelah Anda memverifikasi dengan MD5 sebelum membakar.
psimon

Jawaban:

7

Anda perlu memverifikasi bahwa hash cocok dengan gambar yang diunduh, dan kemudian memverifikasi bahwa hash ditandatangani oleh kunci Debian resmi - seperti yang dijelaskan dalam posting blog ini .

  1. Unduh gambar CD Anda, hash SHA 512, dan tanda tangan hash. Tidak masalah dari mana Anda mendapatkannya, karena tanda tangan yang akan kami verifikasi di bawah. Tapi Anda bisa mendapatkannya dari debian.org .
  2. Verifikasi bahwa hash cocok dengan gambar (tak satu pun dari perintah ini harus mencetak apa pun):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
    $ diff -q my_hash.txt SHA512SUMS.txt
    
  3. Verifikasi hash ditandatangani dengan benar. Anda mungkin harus melakukannya dua kali: sekali untuk mendapatkan ID kunci, dan sekali lagi setelah Anda mengunduh kunci publik. Output perintah akan terlihat seperti ini:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Can't check signature: public key not found
    $ gpg --keyserver keyring.debian.org --recv 6294BE9B
    gpg: requesting key 6294BE9B from hkp server keyring.debian.org
    gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported
    gpg: no ultimately trusted keys found
    gpg: Total number processed: 1
    gpg:               imported: 1  (RSA: 1)
    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Good signature from "Debian CD signing key <[email protected]>"
    gpg: WARNING: This key is not certified with a trusted signature!
    gpg:          There is no indication that the signature belongs to the owner.
    Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
    
  4. Pastikan bahwa sidik jari kunci (baris tercetak terakhir) adalah sah. Idealnya, Anda harus melakukan ini melalui jaringan kepercayaan . Namun Anda dapat memeriksa sidik jari kunci terhadap kunci yang tercantum di situs web aman Debian (HTTPS).

z0r
sumber
Sangat membantu. Dengan hormat menyarankan Anda menambahkan langkah antara langkah Anda saat ini 1 dan 2, untuk membaca sesuatu seperti: "Salin baris yang relevan dari hash SHA 512 (jika file tersebut memiliki lebih dari satu baris) dan tempelkan yang sama ke file teks baru, bernama SHA512SUMS .txt." Selanjutnya, pada $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txtlangkah Anda , sarankan Anda mengubah referensi ke SHA512SUMS.txtfile sehingga referensi file hash yang awalnya diunduh, tidak berubah (yang dengan semua data asli). Said menyarankan perubahan akan mencegah saya turun ke lubang kelinci yang dalam dan gelap ...
Digger
Pada langkah 2, apa tujuan melakukannya dengan cara yang Anda tulis versus sha512sum -c SHA512SUMS.txt?
cdhowie
@cdhowie tanpa alasan. Cara Anda lebih baik; jangan ragu untuk mengeditnya
z0r
4

Lihatlah http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

Netinst ISO ada di http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso .

Anda dapat menemukan md5sum di http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS .

Baris yang relevan adalah:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso
Faheem Mitha
sumber
Saya lebih suka hanya menggunakan ISO yang sudah saya unduh dan saya memverifikasi menggunakan tanda tangan PGP.
user295031