Cara memverifikasi keaslian gambar ISO Debian yang diunduh

Ada dua langkah untuk memverifikasi keaslian image ISO Debian yang diunduh dari mirror Debian:

1. Pertama, kita perlu memverifikasi check-sum konten image CD terhadap file checksum yang relevan apakah itu MD5SUMS atau SHA512SUMS
2. Kedua, kita perlu memverifikasi file checksum yang sebenarnya untuk tanda tangan yang benar menggunakan tanda tangan yang menyertai seperti MD5SUMS.sign atau SHA512SUMS.sign

Untuk memulai, pertama-tama unduh semua file yang relevan termasuk gambar ISO yang diinginkan dalam satu direktori. Dalam hal ini kami akan memvalidasi keaslian image CD instalasi debian net:

$ ls
MD5SUMS  MD5SUMS.sign  SHA512SUMS  SHA512SUMS.sign  debian-8.0.0-arm64-netinst.iso

Tugas yang ada adalah memverifikasi keaslian gambar CD instalasi bersih yang disertakan debian-8.0.0-arm64-netinst.iso

Verifikasi konten gambar CD

Untuk memverifikasi konten gambar CD terhadap gangguan apa pun, kami membuat checksum secara lokal dan mencocokkan dengan checksum yang disediakan oleh MD5SUMS dan SHA512SUMS diunduh dari cermin debian. Catatan, untuk kelengkapannya kita lakukan kedua cara MD5SUMS dan SHA512SUMS .

MD5SUM
$ md5sum -c MD5SUMS 2> /dev/null | grep netinst
debian-8.0.0-arm64-netinst.iso: OK
SHA512SUMS
$ sha512sum -c SHA512SUMS 2> /dev/null | grep netinst
debian-8.0.0-arm64-netinst.iso: OK

Periksa tanda tangan yang benar

Sejauh ini semua tampak hebat. Selanjutnya, kita perlu memverifikasi keaslian MD5SUMS yang sebenarnya dan SHA512SUMS file checksum yang telah kami gunakan untuk memverifikasi konten gambar ISO Debian kami. Untuk ini kita akan menggunakan gpg (GNU Privacy Guard) perintah. Pertama, kita perlu mendapatkan kunci publik dari orang yang menandatangani file checksum kita:

$ gpg --verify MD5SUMS.sign
gpg: assuming signed data in `MD5SUMS'
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found
$ gpg --verify SHA512SUMS.sign 
gpg: assuming signed data in `SHA512SUMS'
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found

Kunci publik dengan ID6294BE9B saat ini tidak tersedia di sistem kami sehingga kami perlu mengunduhnya terlebih dahulu langsung dari server keyring debian:

$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: keyring `/root/.gnupg/secring.gpg' created
gpg: requesting key 6294BE9B from hkp server keyring.debian.org
gpg: /root/.gnupg/trustdb.gpg: trustdb created
gpg: key 6294BE9B: public key "Debian CD signing key " imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

Pada titik ini kita berada dalam posisi untuk memverifikasi tanda tangan untuk kedua file checksum:

$ gpg --verify MD5SUMS.sign MD5SUMS
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key "
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key "
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

Pesan gpg: Good signature from "Debian CD signing key " mengkonfirmasikan bahwa image CD Debian adalah milik yang diklaim miliknya. Sebagai kesimpulan, mari kita coba tes gangguan sederhana dengan MD5SUMS file dan ubah satu karakter dalam file ini menggunakan vim editor:

$ vi MD5SUMS
$ gpg --verify MD5SUMS.sign MD5SUMS
gpg: Signature made Sat Apr 25 23:44:18 2015 UTC using RSA key ID 6294BE9B
gpg: BAD signature from "Debian CD signing key "