ISOs verifizieren
Spätestens seit dem Hack der Linux Mint Webseite sollte jeder die heruntergeladenen ISO Dateien mit einer Checksummen-Datei verifizieren. Wie das geht zeige ich anhand der Debian 9.3 Net-Install ISO.
wget wget https://cdimage.debian.org/cdimage/release/current/amd64/iso-cd/SHA256SUMS wget https://cdimage.debian.org/cdimage/release/current/amd64/iso-cd/SHA256SUMS.sign gpg --verify SHA256SUMS.sign
Ausgabe im Terminal:
gpg: die unterzeichneten Daten sind wohl in 'SHA256SUMS' gpg: Unterschrift vom So 10 Dez 2017 03:58:22 CET mittels RSA-Schlüssel ID 6294BE9B gpg: Unterschrift kann nicht geprüft werden: Öffentlicher Schlüssel nicht gefunden
Die Schlüssel ID müsst ihr nun hinzufügen:
gpg --search-key 6294BE9B
Ausgabe im Terminal:
gpg: Suche nach »6294BE9B« auf hkp-Server keys.gnupg.net (1) Debian CD signing key <debian-cd@lists.debian.org> 4096 bit RSA key 6294BE9B, erzeugt: 2011-01-05 Keys 1-1 of 1 for "6294BE9B". Eingabe von Zahlen, N)ächste oder B)eenden >
Drückt die 1. Ausgabe im Terminal:
gpg: Schlüssel 6294BE9B von hkp-Server keys.gnupg.net anfordern gpg: Schlüssel 6294BE9B: Öffentlicher Schlüssel "Debian CD signing key <debian-cd@lists.debian.org>" importiert gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell gpg: Tiefe: 0 gültig: 1 unterschrieben: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1 gpg: importiert: 1 (RSA: 1)
Nun wird die Checksumme des ISOs generiert und im Anschluss geprüft.
sha256sum debian-9.3.0-amd64-netinst.iso > checksummen.txt cat SHA256SUMS | grep debian-9.3.0-amd64-netinst.iso >> checksummen.txt cat checksummen.txt
Ausgabe im Terminal:
83480be837710a76fd4e75a6573ca110e06f5a7589d2d3852bdb0f45749800b3 debian-9.3.0-amd64-netinst.iso
83480be837710a76fd4e75a6573ca110e06f5a7589d2d3852bdb0f45749800b3 debian-9.3.0-amd64-netinst.iso
Wie man sieht stimmen die Checksummen überein.