проверка ubuntu iso с помощью gpg-ключей репозитория
Я хочу проверить, что загруженный ISO не отравлен NSA или каким-либо другим аморальным агентом. Для этого я бы очень сильно использовал способ проверки подписи.
Я знаю VerifyIsoHowto. Тем не менее я не очень доволен предложенным. Если какой-либо агент может манипулировать загрузкой одного файла, он, безусловно, может манипулировать загрузкой всех файлов. Таким образом, открытый ключ, который я получаю с ключевого сервера, можно просто обмануть, чтобы проверить управляемый файл ISO, но в самом деле ему был введен руткит или еще хуже.
Теперь я знаю, что есть к сожалению, 100% уверенно. Но, исходя из предположения, что моя текущая система безопасна, я использую эти ключи, используемые в механизме VerifyIsoHowto .
Мой вопрос:
Как ключи, которым я уже доверяю SecureApt (= обычные ключи репозитория Ubuntu), используются для проверки только что загруженного ISO?
В самом деле, это послужило бы мне хорошо, и если бы я мог через Ubuntu Repo (и, следовательно, в deb, который неявно проверяется через SecureApt), получите эти открытые ключи, которые необходимы для проверки подписи iso.
Любая помощь будет принята с благодарностью.
PS: Конечно, я знаю, что если Канонический аморально и сотрудничает с NSA (у которого есть деньги, эй), мы все все поиденс. Давайте просто предположим, что подобное никогда не произойдет, нормально?
1 ответ
Это работает хорошо:
sudo apt-get install ubuntu-keyring
gpgv --keyring=/usr/share/keyrings/ubuntu-archive-keyring.gpg SHA256SUMS.gpg SHA256SUMS
grep ubuntu-14.04-desktop-amd64.iso SHA256SUMS | sha256sum --check