Come faccio a garantire che il download di Ubuntu non sia stato manomesso?

4

Sto scaricando Ubuntu Linux e vorrei accertarmi che il mio download non sia stato manomesso.

Ubuntu ha una chiave GPG, che potrei usare per assicurarmi che il download sia valido - ma come convalidare la chiave? Sfortunatamente, la chiave sembra essere disponibile solo tramite hkp, che non è un protocollo sicuro!

La chiave GPG è firmata da sola - ma come posso controllare quei chiavi?

Le istruzioni di Ubuntu per verificare il download non sono utili a meno che la chiave pubblica per verificare le firme sia disponibile in modo sicuro. GPG web of trust non è utile, perché il mio è attualmente vuoto e non so da dove iniziare a costruirlo.

    
posta Demi 11.08.2014 - 08:22
fonte

3 risposte

1

Puoi trovare tutti gli hash MD5 qui:

Ora tutto ciò che devi fare è confrontare l'hash MD5 del tuo download con l'hash sulla pagina. È possibile generare un hash MD5 in Ubuntu usando:

md5sum <file>
    
risposta data 13.08.2014 - 06:01
fonte
0

L'uso di una connessione sicura non aiuta nemmeno a convalidare la chiave. Come verificherai l'identità del server a cui ti stai connettendo? Per esempio. Posso usare hkps per connettermi a un server canaglia e recuperare in modo sicuro una chiave pubblica falsa.

Invece PGP funziona tramite un'infrastruttura "Web of Trust" in cui ti fidi di una chiave perché è firmata da qualcuno di cui ti fidi.

Puoi trovare una spiegazione più approfondita qui Non dovrebbe Il recupero di chiavi GPG utilizza una connessione sicura?

    
risposta data 11.08.2014 - 09:42
fonte
0

SHA 256 checksum ci sono.

link

Per ora possiamo dipendere da questo.

    
risposta data 12.09.2014 - 07:23
fonte

Leggi altre domande sui tag