Come verificare l'autenticità delle immagini ISO Debian scaricate

Ci sono due passaggi per verificare l'autenticità delle immagini ISO Debian scaricate dai mirror Debian:

1. In primo luogo, dobbiamo verificare il check-sum del contenuto dell'immagine del CD rispetto ai relativi file di checksum se si tratta di MD5SUMS o SHA512SUMS
2. In secondo luogo, dobbiamo verificare i file di checksum effettivi per una firma corretta utilizzando firme accompagnate come MD5SUMS.sign o SHA512SUMS.sign

Per iniziare, scarica prima tutti i file rilevanti comprese le immagini ISO desiderate all'interno di un'unica directory. In questo caso convalideremo l'autenticità dell'immagine del CD di installazione di debian net:

$ ls
MD5SUMS  MD5SUMS.sign  SHA512SUMS  SHA512SUMS.sign  debian-8.0.0-arm64-netinst.iso

Il compito da svolgere è verificare l'autenticità dell'immagine del CD di installazione di rete inclusa debian-8.0.0-arm64-netinst.iso

Verifica il contenuto dell'immagine del CD

Per verificare il contenuto dell'immagine del CD contro eventuali manomissioni generiamo checksum localmente e confrontiamo checksum fornito da MD5SUMS e SHA512SUMS scaricato dal mirror debian. Nota, solo per completezza eseguiamo entrambi i metodi MD5SUMS e SHA512SUMS .

MD5SUM
$ md5sum -c MD5SUMS 2> /dev/null | grep netinst
debian-8.0.0-arm64-netinst.iso: OK
SHA512SUMS
$ sha512sum -c SHA512SUMS 2> /dev/null | grep netinst
debian-8.0.0-arm64-netinst.iso: OK

Verifica la firma corretta

Finora tutto sembra fantastico. Successivamente, dobbiamo verificare l'autenticità dell'effettivo MD5SUMS e SHA512SUMS file di checksum che abbiamo usato per verificare il contenuto della nostra immagine ISO Debian. Per questo useremo gpg (GNU Privacy Guard). Innanzitutto, dobbiamo ottenere la chiave pubblica della persona che ha firmato i nostri file di checksum:

$ gpg --verify MD5SUMS.sign
gpg: assuming signed data in `MD5SUMS'
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found
$ gpg --verify SHA512SUMS.sign 
gpg: assuming signed data in `SHA512SUMS'
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found

La chiave pubblica con ID6294BE9B al momento non è disponibile sul nostro sistema, quindi dobbiamo prima scaricarlo direttamente dal server debian keyring:

$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: keyring `/root/.gnupg/secring.gpg' created
gpg: requesting key 6294BE9B from hkp server keyring.debian.org
gpg: /root/.gnupg/trustdb.gpg: trustdb created
gpg: key 6294BE9B: public key "Debian CD signing key " imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

A questo punto siamo nella posizione di verificare una firma per entrambi i file di checksum:

$ gpg --verify MD5SUMS.sign MD5SUMS
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key "
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key "
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

Il messaggio gpg: Good signature from "Debian CD signing key " conferma che l'immagine del CD Debian appartiene a chi afferma di appartenere. Quanto a una conclusione proviamo un semplice test di manomissione con MD5SUMS file e cambia un singolo carattere all'interno di questo file usando vim editore:

$ vi MD5SUMS
$ gpg --verify MD5SUMS.sign MD5SUMS
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: BAD signature from "Debian CD signing key "