為什麼 mini.iso 沒有 gpg 簽章的雜湊值

tag-icon tag-icon security iso gnupg hash signature
為什麼 mini.iso 沒有 gpg 簽章的雜湊值

我發現的包含各種 ubuntu iso 檔案的雜湊值的 gpg 簽章檔案均不包含 mini.iso 檔案的雜湊值。我發現的 mini.iso 檔案的唯一哈希值是同一頁上的純 md5sums,其中包含檔案本身的連結:https://help.ubuntu.com/community/Installation/MinimalCD

該頁面至少是 https。據我所知,實際的文件甚至沒有最低限度的保護。真的,夥計們,我希望你們能指出我缺少的帶有 gpg 簽名哈希值的頁面,最好是接受 https 的頁面。因為如果沒有的話,這對 2016 年底來說真的是相當蹩腳,你不覺得嗎?幾年前,Md5sum 就被證明是不安全的,即使我們忽略這一點,到底為什麼這些被排除在 gpg 簽名清單之外?請告訴我我忽略了一些事情。

答案1

Ubuntu 始終在下載伺服器上提供簽署的雜湊檔案。在每個圖像目錄中,都有幾個具有相應簽名的雜湊檔案。一個範例列表Ubuntu 16.04 LTS AMD64

[ ]     MANIFEST        2016-08-10 19:07    1.0K
[ ]     MANIFEST.udebs  2016-08-10 19:07    23K
[ ]     MD5SUMS         2016-08-10 19:07    3.0K
[ ]     MD5SUMS.gpg     2016-08-10 19:07    933
[ ]     SHA1SUMS        2016-08-10 19:07    3.3K
[ ]     SHA1SUMS.gpg    2016-08-10 19:07    933
[ ]     SHA256SUMS      2016-08-10 19:07    4.2K
[ ]     SHA256SUMS.gpg  2016-08-10 19:07    933
[DIR]   cdrom/          2016-08-10 19:07    -
[DIR]   hd-media/       2016-08-10 19:07    -
[DIR]   netboot/        2016-08-10 19:07    -
[ ]     udeb.list       2016-08-10 19:07    4.3K

minimal.iso檔案儲存在netboot目錄中。

相關內容