วิธีการตรวจสอบความถูกต้องสมบูรณ์ของ Debian ISO

ฉันเพิ่งดาวน์โหลด Debian 7.5.0 Wheezy และจัดการให้ใช้ลายเซ็น Release.sig เพื่อตรวจสอบความสมบูรณ์ของไฟล์ Release checksum โดยใช้ GPG4Win น่าเสียดายที่ฉันไม่พบคำแนะนำเกี่ยวกับตำแหน่งที่จะตรวจสอบการตรวจสอบ md5 / SHA1 / SHA256 ภายในไฟล์ Release เพื่อตรวจสอบว่า ISO ถูกต้อง / ไม่ได้รับความเสียหาย / ไม่ได้รับการจัดการ ไม่พบความช่วยเหลือเกี่ยวกับปัญหาเฉพาะนี้ในเว็บไซต์สนับสนุนเช่นกัน ฉันกำลังใช้ Windows 7 หากมีความเกี่ยวข้อง

แก้ไข: ชื่อไฟล์ ISO ของฉันคือ "debian-7.5.0-amd64-netinst" รุ่นอื่น ๆ สามารถพบได้ที่นี่ ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) และเสนอวิธีที่ง่ายกว่าในการตรวจสอบความถูกต้องเนื่องจากไฟล์นี้: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS ฉันต้องการค้นหาสิ่งนี้ในไฟล์ Release ที่ฉันยืนยัน

คุณต้องตรวจสอบว่าแฮชตรงกับภาพที่ดาวน์โหลดแล้วจากนั้นตรวจสอบว่าแฮชได้รับการลงนามโดยรหัส Debian อย่างเป็นทางการ - ตามที่อธิบายไว้ในโพสต์บล็อกนี้

1. ดาวน์โหลดอิมเมจซีดีของคุณแฮช SHA 512 และลายเซ็นแฮช ไม่สำคัญว่าคุณจะรับมาจากที่ใดเนื่องจากลายเซ็นต์ที่เราจะตรวจสอบด้านล่าง แต่คุณจะได้รับจากdebian.org

2. ตรวจสอบว่าแฮชตรงกับรูปภาพ (ทั้งคำสั่งเหล่านี้ไม่ควรพิมพ์อะไร):

   $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
   $ diff -q my_hash.txt SHA512SUMS.txt
   

3. ตรวจสอบว่าแฮชได้รับการลงชื่ออย่างถูกต้อง คุณอาจต้องทำสองครั้ง: หนึ่งครั้งเพื่อรับรหัสคีย์และอีกครั้งหลังจากที่คุณดาวน์โหลดรหัสสาธารณะ เอาต์พุตคำสั่งควรมีลักษณะดังนี้:

   $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
   gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
   gpg: Can't check signature: public key not found
   $ gpg --keyserver keyring.debian.org --recv 6294BE9B
   gpg: requesting key 6294BE9B from hkp server keyring.debian.org
   gpg: key 6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
   gpg: no ultimately trusted keys found
   gpg: Total number processed: 1
   gpg:               imported: 1  (RSA: 1)
   $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
   gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
   gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
   gpg: WARNING: This key is not certified with a trusted signature!
   gpg:          There is no indication that the signature belongs to the owner.
   Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
   

4. ตรวจสอบว่าลายนิ้วมือคีย์ (บรรทัดที่พิมพ์ล่าสุด) ถูกต้องตามกฎหมาย เป็นการดีที่คุณควรทำสิ่งนี้ผ่านทางเว็บที่ไว้ใจได้ อย่างไรก็ตามคุณสามารถตรวจสอบลายนิ้วมือที่สำคัญกับคีย์ที่ระบุไว้ในเว็บไซต์ที่ปลอดภัย (HTTPS) ของ Debian

ดูที่http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

netinst ISO ที่http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso

คุณสามารถค้นหา md5sum ในhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS

บรรทัดที่เกี่ยวข้องคือ:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso