Comment vérifier l'intégrité ISO de Debian?

10

J'ai récemment téléchargé Debian 7.5.0 Wheezy et j'ai réussi à utiliser la signature Release.sig pour vérifier l'intégrité du fichier de somme de contrôle Release à l'aide de GPG4Win. Malheureusement, je n'ai trouvé aucun conseil sur où trouver la somme de contrôle md5 / SHA1 / SHA256 dans le fichier Release pour vérifier que l'ISO est correct / n'a pas été corrompu / manipulé. Impossible de trouver aucune aide concernant ce problème spécifique sur les sites de support non plus. J'utilise Windows 7 si cela est pertinent.

Edit: Le nom de mon fichier ISO est "debian-7.5.0-amd64-netinst". D'autres versions peuvent être trouvées ici ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) et offrent un moyen plus simple de vérifier l'intégrité à cause de ce fichier: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . J'ai besoin de trouver quelque chose comme ça dans le fichier Release que j'ai vérifié.

user295031
la source
Y a-t-il quelqu'un qui peut m'aider avec ça? Comme cela semble être un moyen très compliqué de vérifier l'intégrité, j'espère que quelqu'un avec plus d'expérience que je n'ai pour répondre à cette question.
user295031
Quel est le répertoire à partir duquel vous avez téléchargé votre fichier? Personnellement, je ne m'inquiéterais pas de vérifier l'intégralité de ce fichier. S'il y a quelque chose qui ne va pas, ce sera pdq apparent.
Faheem Mitha
C'est sur le site officiel. Ma version est amd64: debian.org/distrib/netinst
user295031
2
@FaheemMitha, s'il déploie un système critique, la vérification d'intégrité est un must. Je suis un peu paranoïaque, c'est donc une routine pour moi même pour les systèmes non critiques.
psimon
De plus, vous pouvez même utiliser le vérificateur d'intégrité intégré de l'installateur. Mais seulement après l'avoir vérifié avec MD5 avant de le graver.
psimon

Réponses:

7

Vous devez vérifier que le hachage correspond à l'image téléchargée, puis vérifier que le hachage a été signé par une clé Debian officielle - comme expliqué dans cet article de blog .

  1. Téléchargez votre image de CD, un hachage SHA 512 et la signature de hachage. Peu importe d'où vous les obtenez, à cause de la signature que nous vérifierons ci-dessous. Mais vous pouvez l'obtenir sur debian.org .
  2. Vérifiez que le hachage correspond à l'image (aucune de ces commandes ne doit imprimer quoi que ce soit):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
    $ diff -q my_hash.txt SHA512SUMS.txt
    
  3. Vérifiez que le hachage est correctement signé. Vous devrez probablement le faire deux fois: une fois pour obtenir l'ID de clé, et de nouveau après avoir téléchargé la clé publique. La sortie de la commande devrait ressembler beaucoup à ceci:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Can't check signature: public key not found
    $ gpg --keyserver keyring.debian.org --recv 6294BE9B
    gpg: requesting key 6294BE9B from hkp server keyring.debian.org
    gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported
    gpg: no ultimately trusted keys found
    gpg: Total number processed: 1
    gpg:               imported: 1  (RSA: 1)
    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Good signature from "Debian CD signing key <[email protected]>"
    gpg: WARNING: This key is not certified with a trusted signature!
    gpg:          There is no indication that the signature belongs to the owner.
    Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
    
  4. Vérifiez que l'empreinte digitale de la clé (la dernière ligne imprimée) est légitime. Idéalement, vous devriez le faire via un réseau de confiance . Cependant, vous pouvez vérifier l'empreinte digitale des clés par rapport aux clés répertoriées sur le site Web sécurisé de Debian (HTTPS).

z0r
la source
Très utile. Nous vous suggérons respectueusement d'ajouter une étape entre vos étapes actuelles 1 et 2, pour lire quelque chose comme: "Copiez la ligne pertinente du hachage SHA 512 (si ledit fichier a plusieurs lignes) et collez-la dans un nouveau fichier texte, nommé SHA512SUMS .SMS." Ensuite, dans votre $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txtétape, vous suggérons de modifier la référence au SHA512SUMS.txtfichier de sorte qu'il fasse référence au fichier de hachage inchangé téléchargé à l' origine (celui avec toutes les données d'origine). Les changements suggérés m'auraient empêché de descendre dans un terrier de lapin profond et sombre ...
Digger
À l'étape 2, quel est le but de le faire comme vous l'avez écrit par rapport à sha512sum -c SHA512SUMS.txt?
cdhowie
@cdhowie aucune raison. Votre chemin est meilleur; n'hésitez pas à le modifier
z0r
4

Regardez http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

L'ISO netinst se trouve à http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso .

Vous pouvez trouver le md5sum dans http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS .

La ligne pertinente est:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso
Faheem Mitha
la source
Je préfère utiliser uniquement l'ISO que j'ai déjà téléchargé et que j'ai vérifié en utilisant la signature PGP.
user295031