Wie kann die Integrität von Debian ISO überprüft werden?

tag-icon tag-icon debian checksum integrity
Wie kann die Integrität von Debian ISO überprüft werden?

Ich habe vor Kurzem Debian 7.5.0 Wheezy heruntergeladen und konnte mithilfe der Signatur Release.sig die Integrität der Prüfsummendatei von Release mit GPG4Win überprüfen. Leider konnte ich keinen Hinweis darauf finden, wo ich die MD5/SHA1/SHA256-Prüfsumme in der Release-Datei finden kann, um zu überprüfen, ob das ISO korrekt ist/nicht beschädigt/manipuliert wurde. Auch auf den Support-Websites konnte ich keine Hilfe zu diesem speziellen Problem finden. Ich verwende Windows 7, falls dies relevant ist.

Edit: Der Name meiner ISO-Datei lautet "debian-7.5.0-amd64-netinst". Andere Versionen finden sich hier (ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/) und bieten dank dieser Datei eine einfachere Möglichkeit zur Überprüfung der Integrität:ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS. Ich muss so etwas in der Release-Datei finden, die ich überprüft habe.

Antwort1

Sie müssen überprüfen, ob der Hash mit dem heruntergeladenen Image übereinstimmt, und dann überprüfen, ob der Hash mit einem offiziellen Debian-Schlüssel signiert wurde - wie indieser Blog-Beitrag.

  1. Laden Sie Ihr CD-Image, einen SHA 512-Hash und die Hash-Signatur herunter. Es ist egal, woher Sie diese bekommen, da wir die Signatur unten überprüfen werden. Aber Sie können sie bekommen vondebian.org.

  2. Überprüfen Sie, ob der Hash mit dem Bild übereinstimmt (keiner dieser Befehle sollte etwas ausgeben):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
$ diff -q my_hash.txt SHA512SUMS.txt

  3. Überprüfen Sie, ob der Hash richtig signiert ist. Sie müssen dies wahrscheinlich zweimal tun: einmal, um die Schlüssel-ID zu erhalten, und erneut, nachdem Sie den öffentlichen Schlüssel heruntergeladen haben. Die Befehlsausgabe sollte ungefähr so ​​aussehen:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found
$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: requesting key 6294BE9B from hkp server keyring.debian.org
gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

  4. Überprüfen Sie, ob der Schlüsselfingerabdruck (die letzte gedruckte Zeile) gültig ist. Idealerweise sollten Sie dies über einenNetz des Vertrauens. Sie können den Schlüsselfingerabdruck jedoch mit den Schlüsseln vergleichen, die aufDie sichere Website von Debian(HTTPS).

Antwort2

Ansehenhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

Die Netinst-ISO befindet sich beihttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso.

Sie finden die MD5-Summe inhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS.

Die relevante Zeile lautet:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso

verwandte Informationen