Я хочу проверить, что загруженный ISO не отравляется NSA или любым другим безнравственным агентом. Чтобы сделать это, я очень использовал бы проверяющий подписание путь.
Я знаю о VerifyIsoHowto. Тем не менее я не очень доволен предлагаемым. Если некоторый агент может управлять одной загрузкой файла, он, конечно, может управлять всеми загрузками файла. Таким образом, открытый ключ, который я получаю от сервера ключей, может просто быть обманут для осуществления проверки файла ISO, которой управляют, хорошо, в то время как действительно это было введено руткит или хуже.
Теперь я знаю об этом существует, к сожалению, номер 100% верный способ. Но начиная учитывая, что моя существующая система безопасна, мне использовали те ключи в механизме SecureApt.
Мой Вопрос поэтому:
Как может ключи, которым я уже доверяю SecureApt (= обычные ключи репозитория Ubuntu) использоваться для проверки недавно загруженного ISO?
Действительно это служило бы мне хорошо также, если я мог через Repo Ubuntu (и следовательно в deb, который проверяется неявно через SecureApt), получают те открытые ключи, которые были бы необходимы проверить подпись ISO.
Любая справка значительно ценилась бы.
PS: конечно, я знаю, что, если Канонический является безнравственным и сотрудничает с NSA (который имеет деньги эй), мы - весь poisend во всяком случае. Позвольте нам просто предположить, что чего-то вроде этого никогда не могло происходить, хорошо?
Следующие шаги позволяют Вам проверять файл SHA256SUMS для загруженной Ubuntu ISO:
Импортируйте ключи из/usr/share/keyrings/ubuntu-archive-keyring.gpg через gpg --import /usr/share/keyrings/ubuntu-archive-keyring.gpg
. Необходимо видеть что-то вроде этого:
gpg: keyring `/root/.gnupg/secring.gpg' created gpg: key 437D05B5: public key "Ubuntu Archive Automatic Signing Key " imported gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key " imported gpg: Total number processed: 2 gpg: imported: 2 gpg: no ultimately trusted keys found
Строка
gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key " imported
шоу Вы, что Вы импортировали ключ GPG для подписания образов CD (файлы ISO) являетесь тем со следующим цифровым отпечатком:
Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
и следовательно идентификатор FBB7 5451
Импортировав ключ можно затем загрузить файлы SHA256SUMS, MD5SUMS, SHA1SUMS и их соответствующие подписи *SHA256SUMS.gpg, MD5SUMS.gpg
Теперь можно использовать эту команду gpg --verify SHA256SUMS.gpg SHA256SUMS
проверять, законен ли файл SHA256SUMS. Раз так затем необходимо видеть что-то вроде этого:
gpg: Signature made Thu 14 Feb 2013 06:38:41 PM CET using DSA key ID FBB75451 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key " gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
Если файл SHA256SUMS был изменен затем, что-то вроде этого появится вместо этого:
gpg: Signature made Thu 14 Feb 2013 06:38:41 PM CET using DSA key ID FBB75451 gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key "
В основном, вместо следующего шага 2 в практическом руководстве, упомянутом в вопросе и получении ключа от keyserver, который, возможно, был поставлен под угрозу, Вы используете ключ, которому предоставляют Вашу существующую установку Ubuntu, которой Вы доверяете.
Это, кажется, работает хорошо:
sudo apt-get install ubuntu-keyring
gpgv --keyring=/usr/share/keyrings/ubuntu-archive-keyring.gpg SHA256SUMS.gpg SHA256SUMS
grep ubuntu-14.04-desktop-amd64.iso SHA256SUMS | sha256sum --check