Jak ověřit pravost stažených ISO obrazů Debianu

Existují dva kroky k ověření pravosti stažených ISO obrazů Debianu ze zrcadel Debianu:

1. Nejprve musíme ověřit kontrolní součet obsahu obrazu disku CD s příslušnými soubory kontrolních součtů, zda by to byl MD5SUMS nebo SHA512SUMS
2. Zadruhé musíme ověřit správnost podpisu v souborech skutečných kontrolních součtů pomocí doprovodných podpisů, jako je MD5SUMS.sign nebo SHA512SUMS.sign

Chcete-li začít, nejprve si stáhněte všechny relevantní soubory včetně požadovaných obrazů ISO do jednoho adresáře. V tomto případě ověříme pravost obrazu instalačního CD debianu:

$ ls
MD5SUMS  MD5SUMS.sign  SHA512SUMS  SHA512SUMS.sign  debian-8.0.0-arm64-netinst.iso

Úkolem je ověřit pravost přiloženého obrazu síťového instalačního CD debian-8.0.0-arm64-netinst.iso

Ověřte obsah obrazu disku CD

Abychom ověřili obsah obrazu CD proti jakékoli manipulaci, generujeme kontrolní součet lokálně a shodujeme se s kontrolním součtem poskytnutým MD5SUMS a SHA512SUMS staženo z debian mirroru. Všimněte si, že jen pro úplnost používáme obě metody MD5SUMS a SHA512SUMS .

MD5SUM
$ md5sum -c MD5SUMS 2> /dev/null | grep netinst
debian-8.0.0-arm64-netinst.iso: OK
SHA512SUMS
$ sha512sum -c SHA512SUMS 2> /dev/null | grep netinst
debian-8.0.0-arm64-netinst.iso: OK

Zkontrolujte, zda je podpis správný

Zatím vše vypadá skvěle. Dále musíme ověřit pravost skutečného MD5SUMS a SHA512SUMS soubory kontrolního součtu, které jsme použili k ověření obsahu našeho ISO obrazu Debianu. K tomu použijeme gpg (GNU Privacy Guard). Nejprve potřebujeme získat veřejný klíč osoby, která podepsala naše soubory kontrolního součtu:

$ gpg --verify MD5SUMS.sign
gpg: assuming signed data in `MD5SUMS'
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found
$ gpg --verify SHA512SUMS.sign 
gpg: assuming signed data in `SHA512SUMS'
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found

Veřejný klíč s ID6294BE9B není v současné době v našem systému k dispozici, takže jej musíme nejprve stáhnout přímo ze serveru klíčenky debian:

$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: keyring `/root/.gnupg/secring.gpg' created
gpg: requesting key 6294BE9B from hkp server keyring.debian.org
gpg: /root/.gnupg/trustdb.gpg: trustdb created
gpg: key 6294BE9B: public key "Debian CD signing key " imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

V tomto okamžiku jsme schopni ověřit podpis pro oba soubory kontrolního součtu:

$ gpg --verify MD5SUMS.sign MD5SUMS
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key "
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key "
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

Zpráva gpg: Good signature from "Debian CD signing key " potvrzuje, že obraz Debian CD patří tomu, komu prohlašuje, že patří. Na závěr zkusme jednoduchý test neoprávněné manipulace s MD5SUMS a změňte jeden znak v tomto souboru pomocí vim redaktor:

$ vi MD5SUMS
$ gpg --verify MD5SUMS.sign MD5SUMS
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: BAD signature from "Debian CD signing key "