• Page d'accueil
  • Debian
  • Comment vérifier une authenticité des images de Debian ISO téléchargées
Debian

Comment vérifier une authenticité des images de Debian ISO téléchargées

Comment vérifier une authenticité des images de Debian ISO téléchargées

Il y a deux étapes pour vérifier une authenticité des images de Debian ISO téléchargées de Debian Mirrors:

  1. Premièrement, nous devons vérifier le chèque de contrôle du contenu de l'image du CD par rapport à ses fichiers de somme de contrôle pertinents si ce serait Md5sums ou Sha512sums
  2. Deuxièmement, nous devons vérifier les fichiers réels de types de contrôle pour une signature correcte à l'aide de signatures accompagnées telles que Md5sums.signe ou Sha512sums.signe

Pour commencer, téléchargez d'abord tous les fichiers pertinents, y compris les images ISO souhaitées dans un seul répertoire. Dans ce cas, nous validerons l'authenticité de Debian Net Installer Image du CD:

$ ls md5sums md5sums.signe sha512sums sha512sums.Signer Debian-8.0.0-arm64-netinst.ISO

La tâche à accomplir est de vérifier l'authenticité de l'image de CD d'installation nette incluse Debian-8.0.0-arm64-netinst.ISO

Vérifiez le contenu de l'image CD

Pour vérifier le contenu de l'image CD par rapport à toute altération, nous générons la somme de contrôle localement et correspondez à la somme de contrôle fournie par Md5sums et Sha512sums téléchargé à partir du miroir debian. Remarque, juste pour l'exhaustivité, nous faisons les deux méthodes Md5sums et Sha512sums.

MD5SUM $ MD5SUM -C MD5SUMS 2> / DEV / NULL | grep netinst Debian-8.0.0-arm64-netinst.ISO: OK SHA512SUMS $ SHA512SUM -C SHA512SUMS 2> / DEV / NULL | grep netinst Debian-8.0.0-arm64-netinst.ISO: OK

Vérifiez une signature correcte

Jusqu'à présent, tous ont l'air super. Ensuite, nous devons vérifier l'authenticité de la réelle Md5sums et Sha512sums Fichiers de somme de contrôle que nous avons utilisés pour vérifier le contenu de notre image Debian ISO. Pour cela, nous utiliserons GPG (GNU Privacy Guard) Commande. Tout d'abord, nous devons obtenir la clé publique de la personne qui a signé nos fichiers de somme de contrôle:

$ gpg --very md5sums.Signe GPG: en supposant des données signées dans `` MD5SUM '' GPG: Signature Made Sat 25 avril 23:44:18 2015 UTC Utilisation de l'ID de clé RSA 6294BE9B GPG: Impossible de vérifier la signature: clé publique non trouvée $ GPG - Vérifier Sha512Sums.Signe GPG: en supposant des données signées dans GPG 'Sha512Sums': Signature faite samedi 25 avril 23:44:18 2015 UTC Utilisation de l'ID de clé RSA 6294BE9B GPG: Impossible de vérifier la signature: clé publique introuvable

La clé publique avec ID6294BE9B n'est actuellement pas disponible sur notre système, nous devons donc le télécharger d'abord directement à partir du serveur Debian Keyring:

$ gpg - keyserver keyring.Debian.org --recv 6294be9b gpg: clés '/ root /.GNUPG / SECRING.GPG 'créé GPG: demande de clé 6294BE9B à partir de la clés de serveur HKP.Debian.org gpg: / root /.GNUPG / Trustdb.GPG: TrustDB a créé GPG: Key 6294BE9B: clé publique "Key de signature de CD Debian" GPG importé: pas finalement de touches de confiance trouvées GPG: Nombre total traité: 1 GPG: importé: 1 (RSA: 1)

À ce stade, nous sommes en mesure de vérifier une signature pour les deux fichiers de somme de contrôle:

$ gpg --very md5sums.Signe MD5SUMS GPG: Signature Made Sat 25 avril 23:44:18 2015 UTC Utilisation de RSA Key ID 6294BE9B GPG: bonne signature de "Debian CD Signing Key" GPG: AVERTISSEMENT: cette clé n'est pas certifiée avec une signature de confiance! GPG: Rien n'indique que la signature appartient au propriétaire. Empreinte digitale de la clé primaire: DF9B 9C49 EAA9 2984 3258 9d76 DA87 E80D 6294 BE9B $ GPG - Vérifier SHA512SUMS.Signe SHA512SUMS GPG: Signature Made Sat 25 avril 23:44:18 2015 UTC Utilisation de RSA Key ID 6294BE9B GPG: bonne signature de "Debian CD Signing Key" GPG: AVERTISSEMENT: cette clé n'est pas certifiée avec une signature de confiance de confiance! GPG: Rien n'indique que la signature appartient au propriétaire. Empreinte digitale de la clé primaire: DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B

Le message GPG: bonne signature de "Debian CD Signing Key" confirme que l'image de Debian CD appartient à qui il prétend appartenir. Quant à une conclusion, essayons un simple test de falsification avec Md5sums fichier et modifier un seul caractère dans ce fichier en utilisant vigueur éditeur:

$ vi md5sums $ gpg --Veerify md5sums.Signe MD5SUMS GPG: Signature Made Sat 25 avril 23:44:18 2015 UTC Utilisation de RSA Key ID 6294BE9B GPG: Bad Signature de "Debian CD Signing Key"

Tutoriels Linux connexes:

  • Tutoriel de commande wipefs linux avec des exemples
  • Miroirs Ubuntu
  • Comment vérifier l'intégrité d'un ISO de distribution Linux…
  • Comment monter l'image ISO sur Linux
  • Comment installer la bataille.net sur Ubuntu 20.04 Linux Desktop
  • Ubuntu 22.04 Erreur GPG: les signatures suivantes ne pourraient pas être…
  • Ubuntu 20.04 astuces et choses que vous ne savez peut-être pas
  • Comment installer la bataille.net sur Ubuntu 22.04 Linux Desktop
  • Tester les clients HTTPS utilisant OpenSSL pour simuler un serveur
  • Gestion de la saisie des utilisateurs dans les scripts bash