¿Cómo verificar la integridad ISO de Debian?

¿Cómo verificar la integridad ISO de Debian?

Recientemente descargué Debian 7.5.0 Wheezy y logré usar la firma Release.sig para verificar la integridad del archivo de suma de verificación de la versión usando GPG4Win. Desafortunadamente, no pude encontrar ningún consejo sobre dónde encontrar la suma de verificación md5/SHA1/SHA256 dentro del archivo de versión para verificar que la ISO sea correcta/no haya sido dañada/manipulada. Tampoco pude encontrar ayuda con respecto a este problema específico en los sitios de soporte. Estoy usando Windows 7 si esto es relevante.

Editar: el nombre de mi archivo ISO es "debian-7.5.0-amd64-netinst". Otras versiones se pueden encontrar aquí (ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/) y ofrece una manera más fácil de verificar la integridad gracias a este archivo:ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS. Necesito encontrar algo como esto en el archivo de versión que verifiqué.

Respuesta1

Debe verificar que el hash coincida con la imagen descargada y luego verificar que el hash esté firmado con una clave oficial de Debian, como se explica enesta publicación de blog.

  1. Descargue la imagen de su CD, un hash SHA 512 y la firma del hash. No importa de dónde los consigas, gracias a la firma que verificaremos a continuación. Pero puedes obtenerlo dedebian.org.
  2. Verifique que el hash coincida con la imagen (ninguno de estos comandos debería imprimir nada):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
    $ diff -q my_hash.txt SHA512SUMS.txt
    
  3. Verifique que el hash esté firmado correctamente. Probablemente tendrá que hacerlo dos veces: una para obtener la ID de la clave y otra después de haber descargado la clave pública. La salida del comando debería parecerse mucho a esto:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Can't check signature: public key not found
    $ gpg --keyserver keyring.debian.org --recv 6294BE9B
    gpg: requesting key 6294BE9B from hkp server keyring.debian.org
    gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported
    gpg: no ultimately trusted keys found
    gpg: Total number processed: 1
    gpg:               imported: 1  (RSA: 1)
    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Good signature from "Debian CD signing key <[email protected]>"
    gpg: WARNING: This key is not certified with a trusted signature!
    gpg:          There is no indication that the signature belongs to the owner.
    Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
    
  4. Verifique que la huella digital de la clave (la última línea impresa) sea legítima. Lo ideal sería hacerlo a través de unred de confianza. Sin embargo, puede comparar la huella digital de la clave con las claves enumeradas enEl sitio web seguro de Debian(HTTPS).

Respuesta2

Mira ahttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

El ISO de netinst está enhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso.

Puedes encontrar la suma md5 enhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS.

La línea relevante es:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso

información relacionada