¿Cómo verificar la integridad ISO de Debian?

Recientemente descargué Debian 7.5.0 Wheezy y logré usar la firma Release.sig para verificar la integridad del archivo de suma de comprobación de lanzamiento usando GPG4Win. Desafortunadamente, no pude encontrar ningún consejo sobre dónde encontrar la suma de verificación md5 / SHA1 / SHA256 dentro del archivo Release para verificar que el ISO es correcto / no ha sido dañado / manipulado. Tampoco pude encontrar ayuda con respecto a este problema específico en los sitios de soporte. Estoy usando Windows 7 si esto es relevante.

Editar: El nombre de mi archivo ISO es "debian-7.5.0-amd64-netinst". Se pueden encontrar otras versiones aquí ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) y ofrecen una forma más fácil de verificar la integridad gracias a este archivo: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . Necesito encontrar algo como esto en el archivo Release que verifiqué.

Debe verificar que el hash coincida con la imagen descargada y luego verificar que el hash fue firmado por una clave oficial de Debian, como se explica en esta publicación de blog .

1. Descargue la imagen de su CD, un hash SHA 512 y la firma del hash. No importa de dónde los obtenga, debido a la firma que verificaremos a continuación. Pero puede obtenerlo de debian.org .

2. Verifique que el hash coincida con la imagen (ninguno de estos comandos debe imprimir nada):

   $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
   $ diff -q my_hash.txt SHA512SUMS.txt
   

3. Verifique que el hash esté debidamente firmado. Probablemente tendrá que hacerlo dos veces: una para obtener la ID de la clave y otra vez después de haber descargado la clave pública. La salida del comando debería parecerse mucho a esto:

   $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
   gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
   gpg: Can't check signature: public key not found
   $ gpg --keyserver keyring.debian.org --recv 6294BE9B
   gpg: requesting key 6294BE9B from hkp server keyring.debian.org
   gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported
   gpg: no ultimately trusted keys found
   gpg: Total number processed: 1
   gpg:               imported: 1  (RSA: 1)
   $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
   gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
   gpg: Good signature from "Debian CD signing key <[email protected]>"
   gpg: WARNING: This key is not certified with a trusted signature!
   gpg:          There is no indication that the signature belongs to the owner.
   Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
   

4. Verifique que la huella digital clave (la última línea impresa) sea legítima. Idealmente, debe hacerlo a través de una red de confianza . Sin embargo, puede verificar la huella digital de la clave con las claves enumeradas en el sitio web seguro de Debian (HTTPS).

Mire http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

El ISO de Netinst está en http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso .

Puede encontrar el md5sum en http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS .

La línea relevante es:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso