¿Cómo verificar la integridad ISO de Debian?

10

Recientemente descargué Debian 7.5.0 Wheezy y logré usar la firma Release.sig para verificar la integridad del archivo de suma de comprobación de lanzamiento usando GPG4Win. Desafortunadamente, no pude encontrar ningún consejo sobre dónde encontrar la suma de verificación md5 / SHA1 / SHA256 dentro del archivo Release para verificar que el ISO es correcto / no ha sido dañado / manipulado. Tampoco pude encontrar ayuda con respecto a este problema específico en los sitios de soporte. Estoy usando Windows 7 si esto es relevante.

Editar: El nombre de mi archivo ISO es "debian-7.5.0-amd64-netinst". Se pueden encontrar otras versiones aquí ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) y ofrecen una forma más fácil de verificar la integridad gracias a este archivo: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . Necesito encontrar algo como esto en el archivo Release que verifiqué.

usuario295031
fuente
¿Hay alguien que pueda ayudarme con esto? Como esta parece ser una forma muy complicada de verificar la integridad, espero que alguien con más experiencia de la que tengo que responder esta pregunta.
user295031
¿Cuál es el directorio desde el que descargó su archivo? Personalmente, no me preocuparía comprobar la integridad de ese archivo. Si hay algo mal con eso, será evidente pdq.
Faheem Mitha
Es del sitio oficial. Mi versión es amd64: debian.org/distrib/netinst
user295031
2
@FaheemMitha, si está implementando un sistema de misión crítica, entonces la verificación de integridad es imprescindible. Soy un poco paranoico, por lo que es una rutina para mí incluso para sistemas no críticos.
psimon
Por cierto, incluso puede usar el verificador de integridad integrado del instalador. Pero solo después de haberlo verificado con MD5 antes de grabar.
psimon

Respuestas:

7

Debe verificar que el hash coincida con la imagen descargada y luego verificar que el hash fue firmado por una clave oficial de Debian, como se explica en esta publicación de blog .

  1. Descargue la imagen de su CD, un hash SHA 512 y la firma del hash. No importa de dónde los obtenga, debido a la firma que verificaremos a continuación. Pero puede obtenerlo de debian.org .
  2. Verifique que el hash coincida con la imagen (ninguno de estos comandos debe imprimir nada):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
    $ diff -q my_hash.txt SHA512SUMS.txt
    
  3. Verifique que el hash esté debidamente firmado. Probablemente tendrá que hacerlo dos veces: una para obtener la ID de la clave y otra vez después de haber descargado la clave pública. La salida del comando debería parecerse mucho a esto:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Can't check signature: public key not found
    $ gpg --keyserver keyring.debian.org --recv 6294BE9B
    gpg: requesting key 6294BE9B from hkp server keyring.debian.org
    gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported
    gpg: no ultimately trusted keys found
    gpg: Total number processed: 1
    gpg:               imported: 1  (RSA: 1)
    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Good signature from "Debian CD signing key <[email protected]>"
    gpg: WARNING: This key is not certified with a trusted signature!
    gpg:          There is no indication that the signature belongs to the owner.
    Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
    
  4. Verifique que la huella digital clave (la última línea impresa) sea legítima. Idealmente, debe hacerlo a través de una red de confianza . Sin embargo, puede verificar la huella digital de la clave con las claves enumeradas en el sitio web seguro de Debian (HTTPS).

z0r
fuente
Muy útil. Respetuosamente, sugiera que agregue un paso entre los pasos 1 y 2 actuales para leer algo como: "Copie la línea relevante del hash SHA 512 (si dicho archivo tiene más de una línea) y péguelo en un nuevo archivo de texto, llamado SHA512SUMS .TXT." A continuación, en su $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txtpaso, sugiera que cambie la referencia al SHA512SUMS.txtarchivo de modo que haga referencia al archivo hash sin cambios descargado originalmente (el que contiene todos los datos originales). Dichos cambios sugeridos me habrían impedido bajar por una madriguera de conejo profunda y oscura ...
Digger
En el paso 2, ¿cuál es el propósito de hacerlo de la manera en que has escrito sha512sum -c SHA512SUMS.txt?
cdhowie
@cdhowie no hay razón. Tu camino es mejor; siéntase libre de editarlo
z0r