LINUX.ORG.RU

Проверка подлинности компакт-дисков Debian

 , ,


0

1

Тевирп. Не могу разобраться с данным вопросом.
Есть образ установочного диска: debian-9.3.0-i386-DVD-1.iso, к нему прилагаются файлы контрольных сумм: MD5SUMS, SHA1SUMS, и т.п. Здесь все понятно. К примеру, делаем md5sum -c MD5SUMS, и смотрим, сходятся контрольные суммы, или нет. И есть файлы типа *SUMS.sign. На странице https://www.debian.org/CD/verify читаем следующее:

Чтобы удостовериться, что файлы с контрольными суммами сами по себе верны, используйте GnuPG для проверки их соответствия прилагаемым файлам с подписями (например, SHA512SUMS.sign). Все ключи, используемые для этих подписей, включены в набор ключей Debian GPG и лучший способ проверить их — использовать этот набор ключей для проверки через web of trust. Для облегчения жизни пользователей ниже приведены отпечатки ключей, которые использовались для выпусков в последние годы:

pub   4096R/64E6EA7D 2009-10-03
Отпечаток ключа = 1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D
uid                  Debian CD signing key <debian-cd@lists.debian.org>

pub   4096R/6294BE9B 2011-01-05
Отпечаток ключа = DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
uid                  Debian CD signing key <debian-cd@lists.debian.org>
sub   4096R/11CD9819 2011-01-05

pub   4096R/09EA8AC3 2014-04-15
Отпечаток ключа = F41D 3034 2F35 4669 5F65  C669 4246 8F40 09EA 8AC3
uid                  Debian Testing CDs Automatic Signing Key <debian-cd@lists.debian.org>
sub   4096R/6BD05CFB 2014-04-15
Т. е., если я правильно понял, то это что-то вроде контрольных сумм контрольных сумм? И как ими пользоваться, не понятно. Поясните пожалуйста.

Пока делаю так:

@:~$ gpg --verify MD5SUMS.sign
gpg: предполагается, что подписанные данные находятся в 'MD5SUMS'
gpg: Подпись сделана Вс 10 дек 2017 05:57:59 MSK
gpg:                ключом RSA с ID DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Не могу проверить подпись: Нет открытого ключа

quantum_cat ★☆ ()

Это подписи к файлам с контрольными суммами. Сами контрольные суммы можно использовать, чтобы защититься от случайных сбоев при скачивании. А подписи, чтобы защититься от злых людей, которые подменили образы вместе с файлами контрольных сумм. Теоретически. Если у тебя нет соответствующего публичного ключа, полученного надежным способом, то проверить сложно.

TeopeTuK ★★★ ()
Ответ на: комментарий от kto_tama

На оф сайте только данные образа, а чел хочет проверить подлинность диска.

anonymous ()
Ответ на: комментарий от quantum_cat

Нет. Это подписи, изготовленные с помощью GnuPG. Ключом с вот тем самым длиннющим ID. И чтобы проверить, нужен этот самый ключ. И еще нужно быть уверенным, что этот ключ — чей надо ключ.

TeopeTuK ★★★ ()
Ответ на: комментарий от TeopeTuK

Да здесь более-менее понятно, если кому-то удалось подменить файлы контрольных сумм и образов дисков, то наверняка будут подменены и файлы сигнатур.

quantum_cat ★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.