Как доверенно получить дистрибутив Debian?
Официально файлы раздаются тут по HTTP:
http://cdimage.debian.org/debian-cd/8.2.0/amd64/iso-cd/
Или через torrent:
http://cdimage.debian.org/debian-cd/8.2.0/amd64/bt-cd/
Там же есть ссылка на "verification guide":
https://www.debian.org/CD/verify
Подпись под хешами от образов:
http://cdimage.debian.org/debian-cd/8.2.0/amd64/bt-cd/SHA256SUMS.sign
http://cdimage.debian.org/debian-cd/8.2.0/amd64/bt-cd/SHA256SUMS
В общем то fingerprint ключей на HTTPS странице (сертификат выдан Gandi):
https://www.debian.org/CD/verify
Но если быть параноиком - как еще можно подтвердить ключь:
bash# gpg --list-packets MD5SUMS.sign
:signature packet: algo 1, keyid DA87E80D6294BE9B
version 4, created 1441984414, md5len 0, sigclass 0x00
digest algo 8, begin of digest 9e 12
hashed subpkt 2 len 4 (sig created 2015-09-11)
subpkt 16 len 8 (issuer key ID DA87E80D6294BE9B)
data: [4096 bits]
bash# mkdir ./delme
bash# chmod og-rwx delme/
bash# gpg --homedir ./delme --keyserver pgp.mit.edu --recv-keys DA87E80D6294BE9B
gpg: requesting key 6294BE9B from hkp server pgp.mit.edu
gpg: ./delme/trustdb.gpg: trustdb created
gpg: key 6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
bash# gpg --homedir ./delme --list-keys DA87E80D6294BE9B
pub 4096R/6294BE9B 2011-01-05
uid Debian CD signing key <debian-cd@lists.debian.org>
sub 4096R/11CD9819 2011-01-05
Я попробовал поискать кто ключь подписывал:
http://pgp.mit.edu/pks/lookup?search=0xDA87E80D6294BE9B&op=vindex
Не шибко там много.
Кстати часом никто не знает Free-шного OpenPGP проекта под дешевые платформы?
Я искал промышленные решения от 50$, для сравнения валяется TI LaunchPad за
13$:
http://www.ti.com/ww/en/launchpad/launchpads-connected-ek-tm4c123gxl.html
Там есть 256 KiB флеша (куча ключей влезит), 80-MHz (может даже RSA 3072-bit
будет до секунды считать) и USB.
--
Best regards!
Reply to: