¿Cómo me aseguro de que mi descarga de Ubuntu no haya sido manipulada?

4

Estoy descargando Ubuntu Linux y me gustaría asegurarme de que mi descarga no haya sido manipulada.

Ubuntu tiene una clave GPG, que podría usar para asegurarme de que la descarga sea válida, pero ¿cómo validar la clave? Desafortunadamente, la clave parece estar disponible solo a través de hkp, ¡lo que no es un protocolo seguro!

La clave GPG está firmada, pero ¿cómo verifico esas claves?

Las instrucciones de Ubuntu para verificar la descarga no son útiles a menos que la clave pública para verificar las firmas esté disponible de forma segura. La red de confianza de GPG no es útil, porque la mía está actualmente vacía y no sé dónde empezar a construirla.

    
pregunta Demi 11.08.2014 - 08:22
fuente

3 respuestas

1

Aquí puedes encontrar todos los hashes MD5:

Ahora todo lo que tiene que hacer es comparar el hash MD5 de su descarga con el hash en la página. Puede generar un hash MD5 en Ubuntu usando:

md5sum <file>
    
respondido por el John 13.08.2014 - 06:01
fuente
0

El uso de una conexión segura tampoco ayudará a validar la clave. ¿Cómo verificaría la identidad del servidor al que se está conectando? P.ej. Puedo usar hkps para conectarme a un servidor no autorizado y recuperar de forma segura una clave pública falsa.

En su lugar, PGP funciona a través de una infraestructura de "Web of Trust" donde confía en una clave porque está firmada por alguien en quien confía.

Puede encontrar una explicación más detallada aquí No debería La obtención de claves GPG usa una conexión segura?

    
respondido por el limbenjamin 11.08.2014 - 09:42
fuente
0

SHA 256 sumas de comprobación están ahí.

enlace

Podemos depender de ello por ahora.

    
respondido por el Kasun 12.09.2014 - 07:23
fuente

Lea otras preguntas en las etiquetas