Существует ли способ для обычного пользователя проверить подлинность загруженной Ubuntu.ISO?

Question 1

Я вполне удивлен, что проблема это большое имеет так мало разговора вокруг этого.

Я - случайный пользователь Ubuntu, и я просто загрузил ISO с ubuntu.com.
Мне не настраивали сеть доверия PGP на моем компьютере или чем-либо.
Таким образом, единственной вещью, которой я могу действительно доверять, является список CA моего браузера.

Как я пошел бы о проверке, что я не получаю MITM'd и уровень руткита pwnd на 16 лет? (Поскольку это действительно настолько легко),

1. Просто проверьте SHA256SUM

Ну, к сожалению, http://releases.ubuntu.com/ только вручен через HTTP.
На самом деле существует, "не Исправит" закрытый отчет об ошибках с 2013, где специалисты по обслуживанию явно отрицают беспокоиться обеспечением пользователям версии HTTPS хэш-списка.

2. Просто загрузите открытые ключи Ubuntu GPG

Как упомянуто на странице VerifyIsoHowTo, другой способ проверить загрузку состоит в том, чтобы загрузить открытый ключ Ubuntu и проверить файлы хеша .gpg.
Однако в мелком шрифте, около нижней части это упоминает что-то о создании сети доверия. Если мы должны подробно остановиться на этом, я думаю, что мы можем безопасно заявить, что проверка подписей PGP без хорошей сети доверия на месте абсолютно бесполезна.

Таким образом, что оставляют? Буквально ничто. Конечно, можно провести много времени, пытаясь понять PGP, связываясь с коллегами и создав собственную сеть доверия за следующие недели, или можно просто пропустить все это и просто наконец продолжать установку, которая является тем, что сделает подавляющее большинство людей, если они даже потрудились получать это далеко.

Так, есть ли практический способ для случайного/промежуточного пользователя проверить целостность программного обеспечения Ubuntu до установки его, или мы тратим впустую тысячи на тысячи человеко-часов для написания безопасного кода только для обслуживания его небезопасно?

Question 2

Существует пошаговое руководство на нем: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#0

если Вы не знаете, как это работает, то единственный путь, если Вы намереваетесь использовать его - состоит в том, чтобы изучить это.

Нет никакого "простого" пути к этому, потому что это не просто о том, как это работает и как это обеспечивает корректные результаты (если Вы не хороши с алгоритмами).Прошу прощения.

Нет никакой официальной ISO mdsums организации, которая отслеживает все изображения там, таким образом, нет никакого официального способа сделать это. Можно однако использовать инструменты и проверить его по тому, что Ubuntu совместно использует с Вами на их официальных серверах. Т.е. для latests Ubuntu http://releases.ubuntu.com/cosmic/

существует несколько файлов:

который может быть проверен по с так же как:

md5sum ubuntu-18.10-desktop-amd64.iso
sha1sum ubuntu-18.10-desktop-amd64.iso
sha256sum ubuntu-18.10-desktop-amd64.iso

где ubuntu-18.10-desktop-amd64.iso конечно, рассматриваемая ISO. сравните вывод команды с теми страницами, и Вы будете знать, является ли это подлинным.

Править: Я думал, что отвечу на все вопросы OP, потому что они произвели некоторые вопросы и примечания в комментарии и вопросах, поставленных там:

Существует ли способ для обычного пользователя проверить подлинность загруженной Ubuntu.ISO?

существует, я ответил на это в своем основном ответе

Как я пошел бы о проверке, что я не получаю MITM'd и уровень руткита pwnd на 16 лет?

единственным простым путем я знаю (не используя браузер для загрузки сертификата SSL), должен подтвердить сеть / DNS отвечает тем же IP как некоторый другой DNS, который Вы не используете и которому Вы доверяете, т.е. Google или openDNS: dig releases.ubuntu.com dig @208.67.222.222 releases.ubuntu.com dig @8.8.8.8 releases.ubuntu.com Все они должны представить те же результаты. Для руткита единственный путь состоит в том, чтобы проверить ISO по контрольным суммам, которые я уже описал.

Так, есть ли практический способ для случайного/промежуточного пользователя проверить целостность программного обеспечения Ubuntu до установки его, или мы тратим впустую тысячи на тысячи человеко-часов для написания безопасного кода только для обслуживания его небезопасно?

Этот вопрос игнорирует то, что: - ключи GPG могут быть выбраны надежно через hkps сервер: gpg --keyid-format long --keyserver hkps://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092 - существует очень важное примечание по: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#2, Который OP, кажется, игнорирует (при высказывании он считал что прежде):

Note - some people question that if the site they are downloading from is not secure (many archive mirrors do not use SSL), how can they trust the signatures? The gpg fingerprint is checked against the Ubuntu keyserver, so if the signature matches, you know it is authentic no matter where/how it was downloaded! КАК работы GPG под капотом, превышает знание обычного пользователя, но можно положить, что это безопасно. Если Вы не доверяете, читайте, как GPG работает. Я могу уверить Вас, что это было проверено по нападениям многократно ;)

То, что я также объяснил в своем редактировании, является подлинностью сервера CAN быть проверенным по (проверьте мой ответ dig выше). Однако это превышает знание обычного пользователя (спросите своих интернет-родителей просмотра о MITM, Вы будете знать), таким образом, Это повысило мою бровь, когда OP приносит это к таблице наряду с casual user фраза.

В то время как http://releases.ubuntu.com/ не использует HTTPS, можно проверить по MITM с, роют. Если все соответствия, Вы в безопасности, потому что только Канонические хранения управление субдоменами *.ubuntu.com

Я надеюсь, что нет никаких вопросов больше, но если они, добавьте новый вопрос о askubuntu.com и просто добавьте ссылку к этому потоку в нем. Я буду рад ответить.

Question 3

Question 4

Если Вы готовы доверять HTTPS для этого, ключевые цифровые отпечатки GPG доступны через обоих:

https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#3

и

https://wiki.ubuntu.com/SecurityTeam/FAQ#GPG_Keys_used_by_Ubuntu

Спасибо