ISOs verifizieren

Spätestens seit dem Hack der Linux Mint Webseite sollte jeder die heruntergeladenen ISO Dateien mit einer Checksummen-Datei verifizieren. Wie das geht zeige ich anhand der Debian 9.3 Net-Install ISO.

wget 

wget https://cdimage.debian.org/cdimage/release/current/amd64/iso-cd/SHA256SUMS

wget https://cdimage.debian.org/cdimage/release/current/amd64/iso-cd/SHA256SUMS.sign

gpg --verify SHA256SUMS.sign

Ausgabe im Terminal:

gpg: die unterzeichneten Daten sind wohl in 'SHA256SUMS'
gpg: Unterschrift vom So 10 Dez 2017 03:58:22 CET mittels RSA-Schlüssel ID 6294BE9B
gpg: Unterschrift kann nicht geprüft werden: Öffentlicher Schlüssel nicht gefunden

Die Schlüssel ID müsst ihr nun hinzufügen:

gpg --search-key 6294BE9B

Ausgabe im Terminal:

gpg: Suche nach »6294BE9B« auf hkp-Server keys.gnupg.net
(1) Debian CD signing key <debian-cd@lists.debian.org>
 4096 bit RSA key 6294BE9B, erzeugt: 2011-01-05
Keys 1-1 of 1 for "6294BE9B". Eingabe von Zahlen, N)ächste oder B)eenden >

Drückt die 1. Ausgabe im Terminal:

gpg: Schlüssel 6294BE9B von hkp-Server keys.gnupg.net anfordern
gpg: Schlüssel 6294BE9B: Öffentlicher Schlüssel "Debian CD signing key <debian-cd@lists.debian.org>" importiert
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 1 unterschrieben: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1 (RSA: 1)

Nun wird die Checksumme des ISOs generiert und im Anschluss geprüft.

sha256sum debian-9.3.0-amd64-netinst.iso > checksummen.txt

cat SHA256SUMS | grep debian-9.3.0-amd64-netinst.iso >> checksummen.txt

cat checksummen.txt

Ausgabe im Terminal:

83480be837710a76fd4e75a6573ca110e06f5a7589d2d3852bdb0f45749800b3 debian-9.3.0-amd64-netinst.iso
83480be837710a76fd4e75a6573ca110e06f5a7589d2d3852bdb0f45749800b3 debian-9.3.0-amd64-netinst.iso

Wie man sieht stimmen die Checksummen überein.