驗證 Debian 映像的真實性
Debian 的官方安裝映像和 Live 映像帶有已簽名的校驗和文件;您可以在存有映像的 iso-cd、jigdo-dvd、iso-hybrid 目錄下找到它們。其允許您檢查下載的映像是否正確。首先,可以使用校驗和來檢查映像在下載過程中是否有損壞。其次,校驗和文件上的簽名允許您確認這些映像是 Debian 正式發佈的文件,並沒有被篡改。
要驗證映像檔的內容,請確保使用適當的校驗和工具。每個發佈版本都支持強密碼學的校驗和算法(SHA256 和 SHA512); 您應該使用對應的
sha256sum 或 sha512sum 工具來處理這些文件。
要確保校驗和文件本身是正確的,請使用 OpenPGP 的實現(例如 GnuPG、Sequoia-PGP、PGPainless 或 GopenPGP)
驗證伴隨的簽名文件(例如
SHA512SUMS.sign)。用於簽名的密鑰都在 Debian OpenPGP 密鑰環中,檢查它們的最佳方法是透過信任網路使用密鑰環進行驗證。為了方便沒有已安裝 Debian 的機器的使用者,以下是近年來發行用的密鑰的詳細信息,以及可以直接下載公鑰的鏈接:
pub rsa4096/988021A964E6EA7D 2009-10-03 金鑰指紋 = 1046 0DAD 7616 5AD8 1FBC 0CE9 9880 21A9 64E6 EA7D uid Debian CD signing key <[email protected]> pub rsa4096/DA87E80D6294BE9B 2011-01-05 [SC] 金鑰指紋 = DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B uid Debian CD signing key <[email protected]> pub rsa4096/42468F4009EA8AC3 2014-04-15 [SC] 金鑰指紋 = F41D 3034 2F35 4669 5F65 C669 4246 8F40 09EA 8AC3 uid Debian Testing CDs Automatic Signing Key <[email protected]>