我想使用分离的签名SHA512SUMS.sign验证从http://cdimage.debian.org/debian-cd/8.1.0/i386/iso-cd/下载的文件SHA512SUMS的完整性。如何获取Debian公钥?什么是正确的密钥服务器?
我发现whonix对于验证CD映像有更清晰的说明。https://www.whonix.org/wiki/Debian
步骤:
- 打开包含所需CD映像的目录的URL路径。该目录还将包含校验和文件。(如。http://cdimage.debian.org/debian-cd/8.3.0/amd64/iso-cd/for Debian 8.3.0)
- 下载您的CD映像以及相应的校验和和签名。(如。sha512sum and sha512sum .sign) 安装Debian密匙环。(安装debian-keyring)
- 校验和签名。(gpg——no-default-keyring——keyring/usr/share/keyrings/debian-role-keys)gpg——verify SHA512SUMS.sign)只要包含"gpg: Good signature",就可以忽略"This key is not certified with a trusted signature!"警告。
- 验证CD映像是否匹配校验和。(sha512sum -c sha512sum)必须显示"debian-8.3.0-amd64-netinst"。iso: OK"或您下载的CD映像的等效文件。所有其他图片都有"no such file"警告,这很好。
当(且仅当)您的CD映像检查为OK时,您已经成功验证了您的映像!
看来gpg --keyring /usr/share/keyrings/debian-role-keys.gpg --verify SHA512SUMS.sign SHA512SUMS起作用了