如何验证 Debian CD 映像的完整性?
how to verify the integrity of a Debian CD image?
我想使用分离签名 SHA512SUMS.sign 验证我从 http://cdimage.debian.org/debian-cd/8.1.0/i386/iso-cd/ 下载的文件 SHA512SUMS 的完整性。我如何获得 Debian public 密钥?什么是正确的密钥服务器?
似乎gpg --keyring /usr/share/keyrings/debian-role-keys.gpg --verify SHA512SUMS.sign SHA512SUMS有效
我发现 whonix 对验证 CD 映像有更清晰的说明。
https://www.whonix.org/wiki/Debian
步骤:
- 打开包含所需 CD 映像的目录的 URL 路径。该目录还将包含校验和文件。 (例如,http://cdimage.debian.org/debian-cd/8.3.0/amd64/iso-cd/ 对于 Debian 8.3.0)
- 下载您的 CD 映像以及相应的校验和和校验和签名。 (例如 SHA512SUMS 和 SHA512SUMS.sign)
- 安装 Debian 密钥环。 (sudo apt-get install debian-keyring)
- 验证校验和签名。 (gpg --no-default-keyring --keyring /usr/share/keyrings/debian-role-keys.gpg --verify SHA512SUMS.sign) 只要包含"gpg: Good signature",就可以忽略"This key is not certified with a trusted signature!"警告。
- 验证 CD 映像是否与校验和匹配。 (sha512sum -c SHA512SUMS) 这必须显示 "debian-8.3.0-amd64-netinst.iso: OK" 或您下载的 CD 映像的等效项。所有其他图像都会有 "no such file" 警告,没关系。
如果(且仅当)您的 CD 映像检查正常,则您已成功验证您的映像!
我想使用分离签名 SHA512SUMS.sign 验证我从 http://cdimage.debian.org/debian-cd/8.1.0/i386/iso-cd/ 下载的文件 SHA512SUMS 的完整性。我如何获得 Debian public 密钥?什么是正确的密钥服务器?
似乎gpg --keyring /usr/share/keyrings/debian-role-keys.gpg --verify SHA512SUMS.sign SHA512SUMS有效
我发现 whonix 对验证 CD 映像有更清晰的说明。 https://www.whonix.org/wiki/Debian
步骤:
- 打开包含所需 CD 映像的目录的 URL 路径。该目录还将包含校验和文件。 (例如,http://cdimage.debian.org/debian-cd/8.3.0/amd64/iso-cd/ 对于 Debian 8.3.0)
- 下载您的 CD 映像以及相应的校验和和校验和签名。 (例如 SHA512SUMS 和 SHA512SUMS.sign)
- 安装 Debian 密钥环。 (sudo apt-get install debian-keyring)
- 验证校验和签名。 (gpg --no-default-keyring --keyring /usr/share/keyrings/debian-role-keys.gpg --verify SHA512SUMS.sign) 只要包含"gpg: Good signature",就可以忽略"This key is not certified with a trusted signature!"警告。
- 验证 CD 映像是否与校验和匹配。 (sha512sum -c SHA512SUMS) 这必须显示 "debian-8.3.0-amd64-netinst.iso: OK" 或您下载的 CD 映像的等效项。所有其他图像都会有 "no such file" 警告,没关系。
如果(且仅当)您的 CD 映像检查正常,则您已成功验证您的映像!