Как проверить загруженный файл, учитывая хеши и .gpg файл
С GPG4Win я проверил Скалистую вершину, GPG4Win, Хвосты, с помощью .sig и ключ подписи. Прочитайте документы и просмотренные видео с этой целью. Теперь я пытался проверить Ubuntu с sha256sum и sha256sums.gpg. Непользователь Linux, как ожидают, установит Инструменты GPG - я могу сделать это с GPG4Win вместо этого - как? У меня есть Помощник Ubuntu как VM, таким образом, я попробовал процедуру, как предписано, которая не работала:
*m@ubuntu:~/Downloads$ gpgv --keyring=/usr/share/keyrings/ubuntu-
archive-keyring.gpg SHA256SUMS.gpg SHA256SUMS
gpgv: can't open `SHA256SUMS.gpg'
gpgv: verify signatures failed: file open error*
В "Загрузках" я создал папку с контрольной суммой, вставляемой на "Pluma" и SHA256SUMS.gpg внутри. Проверка сумм хеша работала. То, в чем я нуждаюсь, является пошаговой инструкцией для проверки с Linux и Win, потому что это - новая тема без предшествующего опыта мне. Большое спасибо за Ваш совет.
PS: Поскольку я как раз собирался загрузить Ubuntu, укладывая Интернет для, "Как проверить.." Я нашел После чтения этого, я отказываюсь загрузить ОС, не зная, какая загрузка, которая будет. Факт или фикция?
1 ответ
Verfication является не обязательно самым простым процессом, в зависимости от того, как надежный или параноидальный (для использования жаргона) Вы хотите быть.
при загрузке ISO, Вам будут обычно также предлагать хеш для проверки загрузки против.
В противном случае на странице загрузки Ubuntu, существует прямая ссылка; получите доступ к родительской папке: http://releases.ubuntu.com/16.04.2/
файлы суммы SHA-256 там, с подписями для проверки списков суммы
Шаг 1
gpg2 --verify SHA256SUMS.gpg SHA256SUMS
это возвратит некоторый вывод
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using DSA key ID FBB75451
gpg: Can't check signature: No public key
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using RSA key ID EFE21092
, ключевые цифровые отпечатки в конце; теперь необходимо импортировать их из Импорта шага 2 keyserver
gpg2 --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys FBB75451 EFE21092
, который подтвердит то, что Вы хотите знать:
gpg: key EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" imported
gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" imported
gpg: marginals needed: 3 completes needed: 1 trust model: PGP
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: Total number processed: 2
gpg: imported: 2
Шаг 3
можно теперь повторно выполнить команду
gpg2 --verify SHA256SUMS.gpg SHA256SUMS
проверки, Вы получите предупреждения о доверяемых подписях, если Вы никогда не разворачивали сеть доверия прежде. При доверии цифровым отпечаткам, полученным от keyserver это прекрасно. Если Вы надеетесь прикладывать дополнительные усилия, можно попросить, чтобы кто-то с расширенной сетью доверия проверил для Вас; изучите Ключевые События и Подписания gpg сеть доверия для большего количества информации
Шаг 4
, После того как Вы загрузили ISO, Вы хотите, выполняете инструмент контрольной суммы против него:
sha256sum your_distro.iso
Проверка, что сумма соответствует тому от сайта, или в или файл SHA256SUM (который просто будет текстовым файлом с контрольными суммами в нем).
Проблемы из ссылки reddit
Для проблем относительно сайтов ISO, не используя HTTPS: сервер является известным сервером, и содержание известно содержание. Шифрование этого является ненужным, HTTPS лучше подходит для коммуникационной тайны и на-проводном целостности данных.
, Если файлы поставлены под угрозу, говорят относительно жестких дисков сервера, нам нужно что-то еще: таким образом, мы проверяем подлинность и целостность покоящихся данных с помощью подписей.
Для опасений по поводу ключей и самих цифровых отпечатков , сначала правовая оговорка: следующее рассуждает о том, что обычно понимается с протестами, конечно. Это не профессиональный совет безопасности, но больше актуальный дискурс.
единственная вещь, в которой необходимо будет действительно быть уверены, состоит в том, что Вы доверяете ключам, полученным от keyserver, и это - то, где сеть доверия входит.
, Если друг или ваш коллега уже установили цепочку доверия, которое может проверить цифровые отпечатки, и Вы полагаете, что человек, затем можно доверять цифровому отпечатку.
плохой человек А способ быть уверенным состоит в том, чтобы проверить различные и различные веб-сайты и форумы, чтобы видеть, что цифровые отпечатки, у Вас есть соответствие, что было замечено и найдено через другие веб-сайты.
, Если взломщик действительно заменил ISOs Ubuntu фальшивками и заменил подделанными файлами подписи, и , сумел переключить ключи на keyserver, можно все еще быть уверены, что
- ключи не будут соответствовать тем, которые в импортированных ключах другого человека (пока у них есть непоставленные под угрозу ключи) (сеть доверительного сценария)
- любые ключи, зарегистрированные в форумы через сеть (как в сценарии выше, где я вставил то, что я имею), вряд ли будут также переключены (если все сайты не были взломаны, или ключи были переключены задолго до того, как любой начал документировать их в форумах и выводах отладки stackexchange, например)
, Если Вы хотите узнать больше, читение на "уроках, извлеченных" из осадков от взлома веб-сайта Linux Mint, должно обеспечить хороший фон по этой самой проблеме.
И да, процесс проверки ISO должен быть намного легче, я предоставлю Вам это.