use*_*031 10 debian checksum integrity
我最近下载了 Debian 7.5.0 Wheezy 并设法使用 Release.sig 签名来验证使用 GPG4Win 的 Release 校验和文件的完整性。不幸的是,我找不到关于在哪里可以找到 Release 文件中的 md5/SHA1/SHA256 校验和以验证 ISO 是否正确/没有被损坏/操纵的任何建议。在支持站点上也找不到有关此特定问题的任何帮助。如果相关,我正在使用 Windows 7。
编辑:我的 ISO 文件的名称是“debian-7.5.0-amd64-netinst”。其他版本可以在这里找到(ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/)并提供一种更简单的方法来验证完整性,因为这个文件:ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . 我需要在我验证的发布文件中找到类似的东西。
您需要验证散列是否与下载的图像匹配,然后验证散列是否由官方 Debian 密钥签名 - 如本博文中所述。
验证散列是否与图像匹配(这些命令都不应打印任何内容):
$ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
$ diff -q my_hash.txt SHA512SUMS.txt
验证哈希是否正确签名。您可能需要执行两次:一次是为了获取密钥 ID,另一次是在您下载了公钥之后。命令输出应如下所示:
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found
$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: requesting key 6294BE9B from hkp server keyring.debian.org
gpg: key 6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B
验证密钥指纹(最后打印的行)是否合法。理想情况下,您应该通过信任网络来做到这一点。但是,您可以根据Debian 安全网站(HTTPS)上列出的密钥检查密钥指纹。
看看http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/
netinst ISO 位于http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso。
您可以在http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS中找到 md5sum 。
相关行是:
8fdb6715228ea90faba58cb84644d296 debian-7.5.0-amd64-netinst.iso