Los administradores de paquetes, como aptitude
, que se utilizan en las claves GPG de Debian para implementar para autenticar el paquete. La instalación de Debian vendrá con la clave pública del firmante del paquete, que luego se verifica antes de instalar los paquetes descargados.
En ocasiones, encontrará un error si este proceso falla:
W: GPG error: http://www.debian-multimedia.org etch Release: The following signatures couldn't be verified because teh public key is not available: NO_PUBKEY 07DC563D1F41B907
W: You may want to run apt-get update to correct these problems
Puede ver más detalles sobre la solución, llamada SecureApt, aquí: enlace
Para abordar su revisión con respecto a la descarga de imágenes de CD del instalador:
Sí, existen múltiples réplicas y uno de los métodos de entrega primaria (HTTP) es vulnerable a un ataque MITM que podría modificar la imagen de tal manera que su instalador contenga un rootkit. Sin embargo, a diferencia de la actualización de paquetes, la instalación del sistema base es un evento mucho menos frecuente.
Las protecciones PGP manuales también están en su lugar para las imágenes de CD. En primer lugar, todas las imágenes de disco en los espejos deben proporcionar MD5 y múltiples hashes SHA para cada imagen. Estos archivos hash están firmados por Debian para garantizar que tampoco puedan ser falsificados en un sitio espejo.
Antes de descargar el ISO, verifique la integridad del SHA256 o SHA512 (más seguro) utilizando, por ejemplo, gpg
.
gpg --verify SHA512SUMS.sign SHA512SUMS
Esto le dará un error si actualmente no tiene la clave pública con la que se firmó el archivo. En ese caso, compruebe la firma proporcionada y compárela con las claves de confianza en el sitio web de Debian: enlace
Esta es la parte más importante de la verificación, porque la integridad del archivo hash gira en torno a la integridad de la clave en la que confía.
Una vez que hayas verificado una clave apropiada, instálala en tu llavero así:
gpg --recv-key --keyserver subkeys.pgp.net LAST8CHARSOFFINGERPRINT
. Esta
obtiene una clave que coincide con la huella digital de la clave de firma de un servidor.
Finalmente, gpg --verify SHA512SUMS.sign SHA512SUMS
debería decirle si el archivo hash es auténtico. Si es así, puedes comparar de forma segura el resultado de tu sha512 chosen.iso
con el contenido del archivo de sumas.
Naturalmente, todo esto asume que ejecutas estos comandos desde una computadora confiable, donde un atacante no altera a sha512
y gpg
.
YPMV (su paranoia puede variar).