如何验证Debian ISO完整性？

我最近下载了Debian 7.5.0 Wheezy，并设法使用Release.sig签名来使用GPG4Win验证Release校验和文件的完整性。不幸的是，我无法找到有关在Release文件中找到md5 / SHA1 / SHA256校验和的任何建议，以验证ISO是否正确/没有被破坏/操纵。在支持站点上也找不到有关此特定问题的任何帮助。如果相关，我正在使用Windows 7。

编辑：我的ISO文件的名称是“ debian-7.5.0-amd64-netinst”。其他版本可以在这里找到（ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/），并且由于以下文件，它提供了一种更简单的验证完整性的方法：ftp： //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS。我需要在经过验证的发布文件中找到类似的内容。

debian checksum integrity

— 用户名
source

有谁可以帮助我吗？由于这似乎是验证完整性的非常复杂的方法，因此我希望有一个比我有更多经验的人可以回答这个问题。

— user295031 2014年

您从中下载文件的目录是什么？就个人而言，我不会担心检查该文件的完整性。如果有什么问题，那显然是pdq。

— Faheem Mitha 2014年

它来自官方网站。我的版本是amd64： debian.org/distrib/netinst

— user295031 2014年

@FaheemMitha，如果他正在部署关键任务系统，则必须进行完整性检查。我有点偏执，所以即使对于非关键系统，这对我来说也是常规的。

— psimon 2014年

而且，您甚至可以使用安装程序的内置完整性检查器。但是，只有在刻录之前用MD5验证了它之后。

— psimon 2014年

Answers:

您需要验证哈希值是否与下载的图像匹配，然后验证哈希值已由Debian官方密钥签名-如本博文所述。

下载CD映像，SHA 512哈希和哈希签名。无论从哪里获得它们都无所谓，因为我们将在下面验证该签名。但是您可以从debian.org获得它。

验证哈希值与图像匹配（这两个命令都不应该打印任何内容）：

$ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
$ diff -q my_hash.txt SHA512SUMS.txt

验证哈希正确签名。您可能需要做两次：一次获取密钥ID，第二次下载公钥之后。命令输出应该看起来像这样：

$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found
$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: requesting key 6294BE9B from hkp server keyring.debian.org
gpg: key 6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

验证密钥指纹（最后打印的行）是否合法。理想情况下，您应该通过信任网来执行此操作。但是，您可以对照Debian安全网站（HTTPS）上列出的密钥检查密钥指纹。

— 零
source

非常有帮助。谨建议您在当前步骤1和2之间添加一个步骤，以读取以下内容：“从SHA 512哈希中复制相关行（如果所述文件具有多个行），并将其粘贴到名为SHA512SUMS的新文本文件中。文本文件。” 接下来，在您的$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt步骤中，建议您更改对该SHA512SUMS.txt文件的引用，以使其引用最初下载的未更改的哈希文件（包含所有原始数据的哈希文件）。所说的建议变化会使我无法进入深深的兔子洞……

— Digger

在第2步中，以书面方式进行操作的目的是什么sha512sum -c SHA512SUMS.txt？

— cdhowie

@cdhowie没有理由。你的方法更好；随时对其进行编辑

— z0r

看看http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

netinst ISO位于http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso。

您可以在http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS中找到md5sum 。