LINUX.ORG.RU

Проверка подписей и контрольных сумм Archlinux 2024

 , ,


0

1

Я всегда устанавливал линукс без проверок подписей, а сейчас озадачился этим вопросом, когда решил поставить archlinux на ноут. Читал документацию, но так и не понял, как мне проверить подписи и контрольные суммы у iso образа archlinux. Я туповат, поэтому просьба объяснять, чтобы понял детсадовец. Заранее спасибо и сорри за тупые вопросы.

Ничего ты не читал

https://archlinux.org/download/

Checksums and signatures

File integrity checksums and PGP signatures for the latest releases can be found below:

    ISO
        PGP signature
        PGP fingerprint: 0x54449A5C
        SHA256: 4cc7e1c9f4e97b384f0d8731f317b5995bde256fcc17160d32359cab923c5892
        BLAKE2b: 8809374f3a6e2d2295d9060f3291fff1de5b5ad1a71657523d54e9ac966be6a27891662ba320780a3f368d73101e9686e41e8b628958bad73cf65a0bf57704ac
    Bootstrap tarball
        PGP signature
    sha256sums.txt
    b2sums.txt
MagicMirror ★★
()
Ответ на: комментарий от MagicMirror

Так, окей, допустим я использую

gpg --keyserver-options auto-key-retrieve --verify archlinux-2024.06.01-x86_64.iso.sig archlinux-2024.06.01-x86_64.iso

чтобы проверить подписи, но что мне делать с суммами sha256 куда смотреть, какие команды использовать?

pro100ren4
() автор топика
Ответ на: комментарий от MagicMirror

Нет это команда из arch wiki Intallation guide: https://wiki.archlinux.org/title/Installation_guide_(Русский) Пункт 1.2 проверка подписи.

pro100ren4
() автор топика
Последнее исправление: pro100ren4 (всего исправлений: 1)
Ответ на: комментарий от pro100ren4

Ну и что тебе ещё нужно?

UPD: Ну, т.е. ты ее скопировал, а выполнить пробовал, как сказано там, откуда ты ее скопировал?

MagicMirror ★★
()
Последнее исправление: MagicMirror (всего исправлений: 1)
Ответ на: комментарий от MagicMirror

Да черт его знает, у gpg очень странный, как по мне, вывод:

gpg: Подпись сделана Сб 01 июн 2024 12:09:43 MSK
gpg:                ключом EDDSA с идентификатором 3E80CA1A8B89F69CBA57D98A76A5EF9054449A5C
gpg:                 издатель "pierre@archlinux.org"
gpg: Действительная подпись пользователя "Pierre Schmitz <pierre@archlinux.org>" [неизвестно]
gpg: WARNING: The key's User ID is not certified with a trusted signature!
gpg:           Нет указаний на то, что подпись принадлежит владельцу.
Отпечаток первичного ключа: 3E80 CA1A 8B89 F69C BA57  D98A 76A5 EF90 5444 9A5C

Действительная подпись пользователя как будто говорит, что все ок, а WARNING и Нет указаний на то, что подпись принадлежит владельцу как будто бы нет

pro100ren4
() автор топика
Ответ на: комментарий от pro100ren4

Ну правильно. Валидная подпись от pierre@archlinux.org, но кто это такой и доверяешь ли ты ему gpg неизвестно. Сравниваешь идентификатор с тем, что указан на сайте или в любом другом источнике, которому ты доверяешь. Сходится - значит всё ок.

MagicMirror ★★
()