私が見つけた gpg 署名付きファイルには、さまざまな ubuntu iso ファイルのハッシュが含まれていませんでした。mini.iso ファイルのハッシュは、ファイル自体へのリンクと同じページにある単純な md5sum のみでした。https://help.ubuntu.com/community/Installation/MinimalCD
そのページは少なくとも https です。私が知る限り、実際のファイルにはその最低限の保護さえありません。本当に、皆さん、私が見逃している gpg 署名ハッシュのページ、できれば https を受け入れるページを教えていただければ幸いです。そうでなければ、2016 年後半にこれは本当にひどいと思いませんか? 数年前に Md5sum が安全でないことが示されましたが、それを無視したとしても、なぜこれらが gpg 署名リストから除外されているのでしょうか? 何か見落としていることを教えてください。
答え1
Ubuntuはダウンロードサーバー上で常に署名付きハッシュファイルを提供しています。各イメージディレクトリ内には、対応する署名付きのハッシュファイルが複数あります。Ubuntu 16.04 LTS AMD64:
[ ] MANIFEST 2016-08-10 19:07 1.0K
[ ] MANIFEST.udebs 2016-08-10 19:07 23K
[ ] MD5SUMS 2016-08-10 19:07 3.0K
[ ] MD5SUMS.gpg 2016-08-10 19:07 933
[ ] SHA1SUMS 2016-08-10 19:07 3.3K
[ ] SHA1SUMS.gpg 2016-08-10 19:07 933
[ ] SHA256SUMS 2016-08-10 19:07 4.2K
[ ] SHA256SUMS.gpg 2016-08-10 19:07 933
[DIR] cdrom/ 2016-08-10 19:07 -
[DIR] hd-media/ 2016-08-10 19:07 -
[DIR] netboot/ 2016-08-10 19:07 -
[ ] udeb.list 2016-08-10 19:07 4.3K
ファイルはディレクトリminimal.isoに保存されますnetboot。