hum*_*ace 5 security repository iso
我想验证下载的 ISO 没有被 NSA 或任何其他不道德的代理毒害。为此,我将非常使用签名检查方式。
我知道VerifyIsoHowto。我仍然对所提供的不是很满意。如果某个代理可以操作一个文件下载,那么他肯定可以操作所有文件下载。因此,我从密钥服务器获得的公钥可以被欺骗以使被操纵的 ISO 文件检查正常,而实际上它已被注入了 rootkit 或更糟。
现在我知道不幸的是没有 100% 确定的方法。但是首先假设我当前的系统是安全的,我在SecureApt机制中使用了这些密钥。
因此,我的问题:
如何使用我在 SecureApt 中已经信任的密钥(= 普通的 Ubuntu 存储库密钥)来验证新下载的 ISO?
事实上,如果我可以通过 Ubuntu Repo(因此在通过 SecureApt 隐式验证的 deb 中)获得那些验证 iso 签名所必需的公钥,它也会很好地为我服务。
任何帮助将不胜感激。
PS:当然,我知道如果 Canonical 是不道德的并且与 NSA(嘿,有钱)合作,无论如何我们都会保持警惕。让我们假设这样的事情永远不会发生,好吗?
以下步骤允许您验证下载的 Ubuntu iso 的 SHA256SUMS 文件:
通过 .gpg 从 /usr/share/keyrings/ubuntu-archive-keyring.gpg 导入密钥gpg --import /usr/share/keyrings/ubuntu-archive-keyring.gpg。您应该会看到如下内容:
gpg:已创建密钥环`/root/.gnupg/secring.gpg' gpg:密钥 437D05B5:已导入公钥“Ubuntu 存档自动签名密钥” gpg:密钥 FBB75451:已导入公钥“Ubuntu CD 映像自动签名密钥” gpg:处理的总数:2 gpg:进口:2 gpg:未找到最终受信任的密钥
线
gpg:密钥 FBB75451:已导入公钥“Ubuntu CD 映像自动签名密钥”
显示您导入的用于签署 CD 映像(iso 文件)的 GPG 密钥是具有以下指纹的密钥:
主键指纹:C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
因此 ID FBB7 5451
导入密钥后,您可以下载文件 SHA256SUMS、MD5SUMS、SHA1SUMS 及其各自的签名 *SHA256SUMS.gpg、MD5SUMS.gpg
现在您可以使用此命令gpg --verify SHA256SUMS.gpg SHA256SUMS来检查文件 SHA256SUMS 是否合法。如果是这样,那么您应该看到如下内容:
gpg:签名于 2013 年 2 月 14 日星期四 06:38:41 PM CET 使用 DSA 密钥 ID FBB75451 gpg:来自“Ubuntu CD 映像自动签名密钥”的良好签名 gpg:警告:此密钥未经过可信签名认证! gpg:没有迹象表明签名属于所有者。 主键指纹:C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
如果 SHA256SUMS 文件已被更改,则会出现类似以下内容:
gpg:签名于 2013 年 2 月 14 日星期四 06:38:41 PM CET 使用 DSA 密钥 ID FBB75451 gpg:来自“Ubuntu CD 映像自动签名密钥”的错误签名
基本上,不是按照问题中提到的howto 中的第 2 步并从密钥服务器获取密钥(这可能已被泄露),而是使用您信任的现有 Ubuntu 安装提供的密钥。
| 归档时间: |
|
| 查看次数: |
6532 次 |
| 最近记录: |