Recentemente baixei o Debian 7.5.0 Wheezy e consegui usar a assinatura Release.sig para verificar a integridade do arquivo de soma de verificação do Release usando GPG4Win. Infelizmente, não consegui encontrar nenhum conselho sobre onde encontrar a soma de verificação md5/SHA1/SHA256 dentro do arquivo Release para verificar se o ISO está correto/não foi corrompido/manipulado. Também não foi possível encontrar ajuda sobre esse problema específico nos sites de suporte. Estou usando o Windows 7, se isso for relevante.
Editar: O nome do meu arquivo ISO é "debian-7.5.0-amd64-netinst". Outras versões podem ser encontradas aqui (ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/) e oferecem uma maneira mais fácil de verificar a integridade por causa deste arquivo:ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS. Preciso encontrar algo assim no arquivo Release que verifiquei.
Responder1
Você precisa verificar se o hash corresponde à imagem baixada e então verificar se o hash foi assinado por uma chave oficial do Debian - conforme explicado emesta postagem do blog.
- Baixe a imagem do seu CD, um hash SHA 512 e a assinatura do hash. Não importa de onde você os obteve, por causa da assinatura que verificaremos a seguir. Mas você pode obtê-lo dedebian.org.
Verifique se o hash corresponde à imagem (nenhum desses comandos deve imprimir nada):
$ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt $ diff -q my_hash.txt SHA512SUMS.txtVerifique se o hash está assinado corretamente. Você provavelmente terá que fazer isso duas vezes: uma vez para obter o ID da chave e novamente depois de fazer o download da chave pública. A saída do comando deve ser parecida com esta:
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B gpg: Can't check signature: public key not found $ gpg --keyserver keyring.debian.org --recv 6294BE9B gpg: requesting key 6294BE9B from hkp server keyring.debian.org gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1) $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B gpg: Good signature from "Debian CD signing key <[email protected]>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9BVerifique se a impressão digital da chave (a última linha impressa) é legítima. Idealmente, você deve fazer isso através de umteia de confiança. No entanto, você pode verificar a impressão digital da chave com as chaves listadas emSite seguro do Debian(HTTPS).
Responder2
Olhe parahttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/
O netinst ISO está emhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso.
Você pode encontrar o md5sum emhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS.
A linha relevante é:
8fdb6715228ea90faba58cb84644d296 debian-7.5.0-amd64-netinst.iso