临时用户是否有办法验证下载的Ubuntu .ISO的真实性? -- system-installation 领域 和 security 领域 和 gnupg 领域 和 checksums 领域 askubuntu 相关 的问题

Is there a way for a casual user to verify the authenticity of a downloaded Ubuntu .ISO?


简体版||繁體版
2
vote

问题

中文

令我如此惊讶的是,这么大的话题周围很少有对话。

我是Ubuntu的临时用户,我刚刚从ubuntu.com下载了ISO。
我的计算机或任何其他设备都没有设置PGP信任网。
因此,我唯一可以信任的是浏览器的CA列表。

我将如何验证我是否没有得到16岁的MITM和rootkit级的pwnd? (因为这确实很容易)

1。只需检查SHA256SUM

很遗憾, http://releases.ubuntu.com/ 仅通过HTTP提供。 br /> 实际上,2013年有一个"不会解决" 的已关闭的错误报告维护人员明确拒绝为用户提供哈希列表的HTTPS版本。

2。只需使用GPG下载Ubuntu的公钥

如 VerifyIsoHowTo 页所述,另一种验证下载的方法是下载Ubuntu的公钥并验证.gpg哈希文件。
但是,在精美的印刷品中,在底部附近提到了建立信任网络的内容。如果要对此进行扩展,我认为可以放心地说,如果没有良好的信任网络,检查PGP签名是完全没有用的。


那还剩下什么?从字面上看没什么。当然,在接下来的几周中,您可以花费大量时间来理解PGP,与同事联系并建立自己的信任网络,或者您可以跳过所有内容并最终继续进行安装,这就是如果他们甚至不愿再走那么远,绝大多数人都会这么做。

因此,临时/中级用户是否有实用的方法在安装Ubuntu软件之前检查其完整性,还是我们浪费了成千上万的工时来编写仅用于服务的安全代码不安全吗?


英文原文

I'm quite surprised that an issue this big has so little conversation around it.

I'm a casual Ubuntu user, and I just downloaded the ISO from ubuntu.com.
I don't have a PGP web-of-trust set up on my computer or anything.
So the only thing I can really trust is my browser's CA list.

How would I go about verifying I'm not getting MITM'd and rootkit-level pwnd by a 16 y.o.? (Because it really is that easy)

1. Just check the SHA256SUM

Well, unfortunately http://releases.ubuntu.com/ is only served via HTTP.
In fact there's a "Won't Fix" closed bug report from 2013 where maintainers explicitly deny bothering with providing users an HTTPS version of the hash list.

2. Just download Ubuntu's public keys with GPG

As mentioned in the VerifyIsoHowTo page, the other way to verify the download is to download Ubuntu's public key and verify the .gpg hash files.
However, in fine print, near the bottom it mentions something about building a web of trust. If we are to expand on that, I think we can safely state that checking the PGP signatures without a good web-of-trust in place is completely useless.


So what's left? Literally nothing. Of course you can spend a great deal of time trying to understand PGP, contacting colleagues and building your own web-of-trust over the following weeks, or you can just skip all that and just finally get on with the installation, which is what the crushing majority of people will do, if they even bothered getting that far.

So, is there a practical way for the casual/intermediate user to check the integrity of Ubuntu software prior to installing it, or are we wasting thousands upon thousands of man-hours to write secure code only to serve it insecurely?


           
     
     

回答列表

2
 
vote

上面有一个分步教程: https://tutorials.ubuntu.com/tutorial/tutorial-如何验证ubuntu#0

如果您不知道它是如何工作的,那么,如果您打算使用它,唯一的方法是学习它。

没有"简单" 的方法,因为这并不简单,它的工作方式以及如何提供正确的结果(除非您擅长使用算法)。抱歉。

没有正式的iso mdsums组织可以跟踪那里的所有映像,因此没有正式的方法可以做到这一点。但是,您可以使用这些工具,并对照Ubuntu在其官方服务器上与您共享的内容进行检查。即最新的Ubuntu http://releases.ubuntu.com/cosmic/

有多个文件:

  1. http://releases.ubuntu.com/cosmic/MD5SUMS
  2. http://releases.ubuntu.com/cosmic/SHA1SUMS
  3. http://releases.ubuntu.com/cosmic/SHA256SUMS

可以通过以下方式进行检查:

  1. md5sum ubuntu-18.10-desktop-amd64.iso
  2. sha1sum ubuntu-18.10-desktop-amd64.iso
  3. sha256sum ubuntu-18.10-desktop-amd64.iso

其中 ubuntu-18.10-desktop-amd64.iso 当然是有问题的iso。 将命令输出与这些页面进行比较,您将知道它是否为真。

编辑: 我认为我会回答所有OP问题,因为它们在评论中提出了一些问题和注释,并引起了关注:

临时用户是否可以验证已下载的Ubuntu .ISO的真实性?

有,我在主要回答中回答了

我该如何验证我是否未获得16岁的MITM和rootkit级的pwnd ??

我知道的唯一简单方法(不使用浏览器下载SSL证书)是确认您的网络/ dns使用与您未使用但值得信任的其他DNS相同的IP进行响应,即openDNS或google的DNS: dig releases.ubuntu.com dig @208.67.222.222 releases.ubuntu.com dig @8.8.8.8 releases.ubuntu.com 所有这些都应提供相同的结果。 对于rootkit,唯一的方法是对照我已经介绍过的校验和检查ISO。

因此,临时/中级用户是否有实用的方法在安装Ubuntu软件之前检查其完整性,还是我们浪费了成千上万的工时来编写仅用于服务的安全代码不安全吗?

此问题忽略了以下事实: -可以通过 hkps 服务器安全地获取GPG密钥: gpg --keyid-format long --keyserver hkps://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092 -有一个非常重要的说明: https:// tutorials。 ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#2 哪个OP似乎忽略了(虽然说他之前读过):

Note - some people question that if the site they are downloading from is not secure (many archive mirrors do not use SSL), how can they trust the signatures? The gpg fingerprint is checked against the Ubuntu keyserver, so if the signature matches, you know it is authentic no matter where/how it was downloaded! GPG如何在后台运行,超出了临时用户的知识,但是您可以相信这是安全的。如果您不信任,请阅读GPG的工作原理。我可以向您保证,它已多次受到攻击的检查;)

我在编辑中还解释了可以检查服务器的真实性(请在上面的 dig 上检查我的答案)。但是,这超出了临时用户的知识(向您的父母浏览有关MITM的互联网浏览器,您会知道的),因此,当OP与 casual user 短语一起出现在表中时,它引起了我的注意。

http://releases.ubuntu.com/ 未使用HTTPS时,您可以进行检查带挖的MITM。如果所有都匹配,那是安全的,因为只有Canonical拥有对* .ubuntu.com子域的控制权

我希望不再有任何问题,但是如果有,请添加新的askubuntu.com问题,并在其中添加指向该线程的链接。我很乐意回答。

 

There's a step-by-step tutorial on it: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#0

if you don't know how that works, then the only way, if you intend to use it - is to learn it.

There's no "simple" way for this because this is not simple on how this works and how it provides correct results (unless you're good with algorithms). Sorry.

There's no official iso mdsums organization that keeps track of all the images out there so there's no official way of doing that. You can however use the tools and check it against what Ubuntu shares with you on their official servers. I.e for latests Ubuntu http://releases.ubuntu.com/cosmic/

there are multiple files:

  1. http://releases.ubuntu.com/cosmic/MD5SUMS
  2. http://releases.ubuntu.com/cosmic/SHA1SUMS
  3. http://releases.ubuntu.com/cosmic/SHA256SUMS

which can be checked against with as much as:

  1. md5sum ubuntu-18.10-desktop-amd64.iso
  2. sha1sum ubuntu-18.10-desktop-amd64.iso
  3. sha256sum ubuntu-18.10-desktop-amd64.iso

where the ubuntu-18.10-desktop-amd64.iso is of course the iso in question. compare the command output with those pages and you'll know if it's genuine.

EDIT: I thought I'll answer all OP questions because they produced some questions and notes in the comment and concerns raised there:

Is there a way for a casual user to verify the authenticity of a downloaded Ubuntu .ISO?

there is, I answered that in my main answer

How would I go about verifying I'm not getting MITM'd and rootkit-level pwnd by a 16 y.o.?

the only simple way I know (without using browser to download SSL certificate) is to confirm your network / dns responds with the same IP as some other DNS you're not using and which you trust, i.e openDNS or google ones: dig releases.ubuntu.com dig @208.67.222.222 releases.ubuntu.com dig @8.8.8.8 releases.ubuntu.com All of them should render the same results. For rootkit, the only way is to check ISO against checksums, which I already described.

So, is there a practical way for the casual/intermediate user to check the integrity of Ubuntu software prior to installing it, or are we wasting thousands upon thousands of man-hours to write secure code only to serve it insecurely?

This question ignores the fact that: - GPG keys can be fetched securely via hkps server: gpg --keyid-format long --keyserver hkps://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092 - there's a very important note on: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#2 Which OP seems to ignore (while saying he read that before):

Note - some people question that if the site they are downloading from is not secure (many archive mirrors do not use SSL), how can they trust the signatures? The gpg fingerprint is checked against the Ubuntu keyserver, so if the signature matches, you know it is authentic no matter where/how it was downloaded! HOW GPG works under the hood, exceeds the knowledge of casual user, but you can trust this is secure. If you do not trust, please read how GPG works. I can assure you it was checked against attacks multiple times ;)

What I also explained in my edit is authenticity of the server CAN be checked against (check my answer on dig above). However, this exceeds the knowledge of casual user (ask your internet browsing parents about MITM, you'll know) so It raised my eyebrow when OP brings this to the table along with casual user phrase.

While http://releases.ubuntu.com/ IS not using HTTPS, you can check against MITM with dig. If all matches, you're safe, because only Canonical holds the control over *.ubuntu.com subdomains

I hope there's no questions anymore, but if they are, please add new askubuntu.com question and just add a link to this thread in it. I'll be happy to answer.

 
 
       
       
0
 
vote

如果您愿意为此信任HTTPS,则可以通过以下两种方式使用GPG密钥指纹:

https://tutorials.ubuntu.com/tutorial / tutorial-how-to-verify-ubuntu#3

https://wiki.ubuntu.com/SecurityTeam/FAQ#GPG_Keys_used_by_Ubuntu

谢谢

 

If you're willing to trust HTTPS for this, the GPG key fingerprints are available via both:

https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#3

and

https://wiki.ubuntu.com/SecurityTeam/FAQ#GPG_Keys_used_by_Ubuntu

Thanks

 
 

相关问题

1  ubuntu Live CD如何自我检查是否存在缺陷?  ( How does the ubuntu live cd check itself for defects ) 
启动CD时,选项之一是检查自身是否有缺陷。它是如何做到的?肯定会存在假阳性的缺陷吗?还是这不太可能-它使用某种哈希吗? ...

1  验证18.04.5 sha256校验和时签名错误  ( Bad signature on verifying the 18 04 5 sha256 checksum ) 
我正在遵循" 如何验证Ubuntu下载" 教程验证 ubuntu-18.04.5-desktop-amd64.iso 下载。 在执行以下命令后 gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS 我收到以下消息: gpg: Signatu...

2  Ubuntu存储库中的哪些软件包在16.04上提供BLAKE2的总和?  ( What packages in ubuntu repositories provide blake2 sums on 16 04 ) 
我正在为我的Ubuntu 16.04计算机上的文件计算 BLAKE2 哈希。我想要类似 md5sum 或 sha512sum 用于 BLAKE2 ,但是在Ubuntu存储库中找不到提供此功能的软件包。 似乎在coreutils版本8.26和更高版本中提供了" b2sum" 命令,大概是这样做的,但是16.04版本为8...

3  MD5校验和不匹配  ( Md5 checksum not matching ) 
我刚刚从官方网站下载了ubuntu-14.04.1-desktop-amd64.iso,并运行了MD5校验和d2b966f36e76486ff4c83fb085557f97,它与 http://releases.ubuntu.com/14.04.1/MD5SUMS 。 我检查了下载链接,它是 http ://ubun...

12  ubuntu .iso的MD5哈希值(14.04到18.10)  ( Md5 hash for ubuntu iso 14 04 through 18 10 ) 
我在此< / a>网站。 我在找对地方了吗? ...

4  如何自动化检查Ubuntu ISO SHA256sum的过程  ( How to automate the process of checking an ubuntu iso sha256sum ) 
我知道我可以从 http://releases.ubuntu.com获得SHA256和(以及MD5和)。 / ,因为它们现在在文件夹中提供了,但是有什么方法可以自动执行检查过程,以便SHA和的下载是自动的,检查部分也是如此?我知道您可以使用 MD5sums 来"半自动化" 该过程,但是我不知道知道如何使其完全自动化,...

1  由于特定文件上的校验和错误,无法挂载外部硬盘  ( Cannot mount external hdd because of checksum error on a specific file ) 
尝试安装外部硬盘时出现以下错误。 如何解决此类错误?我进行了快速搜索,但没有发现任何有用的信息。 如果我尝试在命令行中将其挂载,则会出现相同的错误: $ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT ... sdc 8:32 0 4,...

3  Ubuntu 14.04.4 –“检查缺陷” –“在2个文件中发现错误”  ( Ubuntu 14 04 4 check for defects errors found in 2 files ) 
首先... 首先,我已经搜索过Ask Ubuntu,并发现了其他多个问题 [1] [2] [3] [4] ,但是a)大多数都不完全符合我的情况,b)尚未完全回答的情况(如果有的话) 。因此,请勿将其标记为重复项,因为它不是一个。 现在,然后... 问题 我将计算机引导至USB,它使我可以选择检查...

277  如何检查文件的SHA1哈希?  ( How do i check the sha1 hash of a file ) 
如何检查文件的SHA1哈希? ...

0  创建安装USB的简便方法  ( Easy way to create an installation usb ) 
Unetbootin和其他脚本太麻烦了, dd 简直令人恐惧。像我这样不知情的用户如何使用直观,丰富的图形工具创建Ubuntu安装USB? ...

4  MD5说校验和是正确的,但是仍然“检查完成:在2个文件中发现错误”  ( Md5 says the checksum is correct but still check finished errors found in 2 fi ) 
我正在尝试双重启动Windows 8.1和ubuntu,但我似乎并没有创建没有错误的USB启动驱动器。 现在我已经两次从官方网站上下载了ubuntu-14.04-desktop-amd64,两次被winmd5sum交叉引用文件的校验和,并在此处使用md5哈希值: https://help.ubuntu.com/com...

0  如何在两个本地目录之间使用--checksum进行同步?  ( How to rsync with checksum between 2 local directories ) 
我想将内容从目录 qt-serial 复制到目录 terminal ,但仅复制具有不同校验和的文件。我试过了: rsync -avzh --checksum $PWD/qt-serial $PWD/terminal 以及我在互联网上发现的许多其他变体,但没有任何反应 我得到类似的输出 qt-serial...

0  如何验证上传的文件是否正确上传  ( How to verify if an uploaded file was uploaded correctly ) 
我已通过rsync将一个ISO文件上传到我的服务器。我如何验证它是正确的(未损坏或其他原因)。以防rsync出现问题。 ...

1  尝试验证Bionic Beaver ISO的SHA256SUMS时出现BAD签名  ( Bad signature when trying to verify sha256sums for bionic beaver iso ) 
我正在尝试验证我在Windows 7上下载的Bionic Beaver。 我觉得我很想念一些东西。 我转到 http://releases.ubuntu.com/bionic/ 并单击SHA256SUMS和SHA256SUMS.gpg 似乎这不会下载文件,而是在新标签页中打开文件中的文本。 我使用Ctrl-A,然后...

1  如何验证Clonezilla校验和?  ( How to verify clonezilla checksum ) 
我已经从这里下载了Clonezilla 。现在,我要使用这些说明来验证下载文件的校验和。但是我的文件名是 clonezilla-live-20190903-disco-amd64.zip ,它与说明。 请告知。 ...

13  如何检查文件的crc?  ( How to check crc of a file ) 
我正在寻找这个问题,并且除了crc以外都显示了其他所有内容。有没有很好的Ubuntu方法可以做到这一点? ...

13  从属性菜单生成SHA,MD5和其他校验和(添加了“摘要”选项卡)  ( Generate sha md5 and other checksums from properties menu added digests tab ) 
我正在尝试恢复我上一个盒子上的功能。它在名为"摘要" 的任何文件的属性菜单中添加了一个选项卡。从那里,我可以选择任何/所有哈希格式,单击"哈希" ,它将在此处生成所述校验和。 我要查找的是软件包的名称或获取安装位置。 我已经在UbuntuForums上开始一个线程 ...

5  “ ./boot/grub/efi.img文件未通过MD5校验和验证。”  ( The boot grub efi img file failed the md5 checksum verification ) 
相关问题:为什么12.04.1备用ISO是否完整性检查失败? 我下载了ubuntu-12.04.3-server-amd64.iso并将其写入USB密钥,但是当我从其中引导并选择"检查光盘是否有缺陷" 时,出现错误:" ./ boot / grub /efi.img文件未通过MD5校验和验证..." 我正在使用...

2  DVD上的图像sha256sum与原始ISO不匹配  ( Sha256sum of image on dvd doesnt match to original iso ) 
在DVD上刻录ISO之后,我尝试检查sha256sum,我使用了此命令,并且得到的结果与原始ISO的检查有所不同: dd if=/dev/sr0 | sha256sum 这是否意味着它写有错误? ...

1  从挂起中唤醒后,CMOS校验和错误和BIOS重置(HP Stream 14)  ( Cmos checksum error and bios reset upon waking from suspend hp stream 14 ) 
第一次发文/第一次在任何论坛上问任何问题! 关于我的问题的其他现有帖子( HP Stream 14上的Ubuntu 18.04-挂起会产生校验和错误)并没有太大帮助。 :( 我正在HP Stream 14(14-CB108CA)上运行Xubuntu 18.04.01 LTS。 CMOS电池实际上是全新的。 禁用安全启...

9  Ubuntu 18.04的校验和在哪里?  ( Where is the checksum for ubuntu 18 04 ) 
Ubuntu 18.04桌面ISO映像(ubuntu-18.04-desktop- amd64.iso)? 在下载页或发行说明页面。 " cd映像" 页面上的校验和适用于服务器版本和Arm版本,但不包含台式机iso的校验和: http://cdimage.ubuntu.com/ubuntu/releases/1...

1  如何确定Nautilus是否使用复制/移动验证?  ( How can i find out if nautilus uses copy move validation ) 
通常我使用 rsync 或 rdiff-backup 在激活验证的情况下复制或移动大量文件。 我不知道Nautilus是否对复制或移动命令使用某种形式的验证。 ...

1  14.04.1 md5sums  ( 14 04 1 md5sums ) 
官方校验和页面仅持续到14.04。我在哪里可以查看我的14.04.01下载( 119cb63b48c9a18f31f417f09655efbd )? ...

0  Ubuntu LiveUSB内核崩溃  ( Ubuntu liveusb kernel panic ) 
我成功启动了18.04 Live USB,但是只要我选择一个选项(包括"检查磁盘是否有缺陷" ),它就会显示" End kernel panic" 错误。对此有任何解决办法吗? PS:我确实下载了另一个ISO,并将其与Rufus和Pen Drive Linux的Universal USB Installer一起使用...

3  如何验证安装DVD?  ( How can i validate an installation dvd ) 
我已经下载了Ubuntu ISO并将其刻录到DVD。从DVD安装到VirtualBox时,出现错误,提示是HDD或DVD或过热。我正在调查所有三个。如何验证DVD是否已正确刻录(我仍然具有原始ISO文件)? ...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有