Проверка подлинности образов Debian
Официальные установочные и живые
образы выпусков Debian
содержат подписанные файлы с контрольными суммами; их вместе с
образами в каталогах iso-cd, jigdo-dvd,
iso-hybrid и т. п. Эти файлы позволяют проверить
корректность загруженных вами образов. Во-первых, контрольная сумма
может использоваться для проверки того, что образы не были повреждены
во время загрузки. Во-вторых, подписи файлов с контрольными суммами
позволяют подтвердить, что эти файлы официально выпущены командами
Debian, и что они не были подделаны.
Чтобы проверить содержимое файла с образом следует использовать
соответствующую утилиту. Для каждого выпуска используются криптографически
стойкие алгоритмы вычисления контрольных сумм (SHA256 и SHA512);
для работы с ними вам следует использовать инстументы
sha256sum или sha512sum.
Чтобы удостовериться, что файлы с контрольными суммами сами по себе верны, используйте
реализацию OpenPGP (такую как GnuPG, Sequoia-PGP, PGPainless или GopenPGP) для
проверки их соответствия прилагаемым файлам с подписями (например,
SHA512SUMS.sign). Все ключи, используемые для этих подписей,
включены в набор OpenPGP-ключей Debian
и лучший способ проверить их — использовать этот набор ключей
для проверки через паутину доверия. Для облегчения жизни пользователей,
не имеющих доступ к машине под управлением Debian, ниже приведена информация о
ключах, которые использовались для выпусков в последние годы, а также ссылки
для загрузки открытых ключей:
pub rsa4096/988021A964E6EA7D 2009-10-03 Отпечаток ключа = 1046 0DAD 7616 5AD8 1FBC 0CE9 9880 21A9 64E6 EA7D uid Debian CD signing key <[email protected]> pub rsa4096/DA87E80D6294BE9B 2011-01-05 [SC] Отпечаток ключа = DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B uid Debian CD signing key <[email protected]> pub rsa4096/42468F4009EA8AC3 2014-04-15 [SC] Отпечаток ключа = F41D 3034 2F35 4669 5F65 C669 4246 8F40 09EA 8AC3 uid Debian Testing CDs Automatic Signing Key <[email protected]>