Недавно я загрузил Debian 7.5.0 Wheezy и смог использовать подпись Release.sig для проверки целостности файла контрольной суммы Release с помощью GPG4Win. К сожалению, я не смог найти никаких советов о том, где найти контрольную сумму md5/SHA1/SHA256 внутри файла Release, чтобы проверить, что ISO правильный/не был поврежден/не был изменен. Не удалось найти никакой помощи по этой конкретной проблеме на сайтах поддержки. Я использую Windows 7, если это имеет значение.
Редактировать: Имя моего ISO-файла — «debian-7.5.0-amd64-netinst». Другие версии можно найти здесь (ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/) и предлагаем более простой способ проверки целостности с помощью этого файла:ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS. Мне нужно найти что-то подобное в проверенном мной файле Release.
решение1
Вам необходимо проверить, соответствует ли хэш загруженному образу, а затем убедиться, что хэш был подписан официальным ключом Debian — как описано вэтот пост в блоге.
- Загрузите образ вашего CD, хэш SHA 512 и подпись хэша. Неважно, откуда вы их получите, из-за подписи, которую мы проверим ниже. Но вы можете получить ее изdebian.org.
Убедитесь, что хеш соответствует изображению (ни одна из этих команд не должна ничего выводить):
$ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt $ diff -q my_hash.txt SHA512SUMS.txtПроверьте, что хэш правильно подписан. Вероятно, вам придется сделать это дважды: один раз, чтобы получить идентификатор ключа, и еще раз после загрузки открытого ключа. Вывод команды должен выглядеть примерно так:
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B gpg: Can't check signature: public key not found $ gpg --keyserver keyring.debian.org --recv 6294BE9B gpg: requesting key 6294BE9B from hkp server keyring.debian.org gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1) $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B gpg: Good signature from "Debian CD signing key <[email protected]>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9BПроверьте, что отпечаток ключа (последняя напечатанная строка) является подлинным. В идеале, вы должны сделать это черезсеть доверия. Однако вы можете проверить отпечаток ключа по ключам, перечисленным наЗащищенный веб-сайт Debian(HTTPS).
решение2
Посмотри наhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/
ISO-образ Netinst находится по адресуhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso.
Вы можете найти md5sum вhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS.
Соответствующая строка:
8fdb6715228ea90faba58cb84644d296 debian-7.5.0-amd64-netinst.iso