Como verifico a assinatura PGP da iso do debian?

Boa noite, queria saber como posso verificar a autenticidade da iso do debian, já entendi como funciona a parte de checar com o SHA256SUM, SHA512SUM e o MD5SUM, porém dizem que não é tão seguro para verificar, pois algum invasor pode mudar a hash. Agora quero testar através do pgp, acabei vendo alguns vídeos e dando uma pesquisada, mas a maioria é de outras distros, não tem nenhum vídeo em inglês ou pt-br no caso do debian, já li alguns artigos, mas mesmo assim não entendi. Se puderem me ajudar melhor, passo a passo de como fazer a checagem, eu agradeceria. :stuck_out_tongue:

Vc vai baixar a imagem ISO, o SHA512SUM, SHA512SUMS.sign
Esses 2 arquivos provam a autenticidade da ISO baixada que ela realmente é autentica e lançada pela equipe Debian.

Fazer a verificação de integridade da ISO você ja disse que fez verificando o SHAxxxSUM, agora é verificar se o SHAxxxSUM é autentico com a assinatura.
Para isso você vai usar o software GPG, instale ele no seu Arch Linux e siga um tutorial da internet.
Veja você tem que verificar a autenticidade da assinatura digital “SHAxxxSUM.sing” do arquivo SHAxxxSUM e este prova que a ISO esta integra.

Você tem que baixar as assinaturas “.sing” equivalentes para as SHAxxxSUM e baixar a ISO equivalente a SHAxxxSUM, é costume colocar elas juntas na mesma pagina da ISO.

Aqui esta um tutorial de como usar o GPG: Usando o GPG para Autenticação e Criptografia

1 curtida

Verifique a autenticidade dos hashs encontrados no arquivo SHA512SUMS com a assinatura contida em SHA512SUMS.sign, para baixar os arquivos basta acessar a pagina de download, segue exemplo…

  1. Baixe os arquivos contendo os hashs, seguido do arquivo contendo a assinatura para o mesmo.
wget https://cdimage.debian.org/debian-cd/current-live/amd64/iso-hybrid/SHA512SUMS{,.sign}
  1. Importe a chave para verificação das assinaturas para o Debian CD
gpg --keyserver keyring.debian.org --recv-keys 0xDA87E80D6294BE9B
  1. Realize a verificação de autenticidade
gpg --keyserver keyring.debian.org --verify SHA512SUMS.sign SHA512SUMS

A saída desejada é algo contendo a seguinte linha…

...
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
...

Mais informações Verifying authenticity of Debian images

1 curtida

Ai você me pergunta, como eu vou saber a autenticidade do site Debian que eu estou baixando?
Sim existe o risco de você sofrer um envenenamento de DNS e cair em site falsificado do Debian.
Para verificar a autenticidade do site que você esta é so vc olhar a chave de autenticação por assinatura digital do site.
Como faço isso?


Na imagem acima tem a barra de endereço que é onde vc digita o site e a esquerda na barra tem 2 cadeados o segundo cadeado o escurinho é o cadeado de segurança do site.

Clicando nele vai abrir um popup dizendo por quem ele foi homologado ai você clica em algum lugar nesse popup para abrir o popup desta janela “informação da pagina” e então em "identidade do site você clica em “Ver certificados” ai no firefox abre outra “aba” mas em fim, é esperado abrir um monte de informação do site e certificado incluindo mostrando as assinaturas do site.

Vlw.

1 curtida

Valeu pela ajuda @null e @aguamole, consegui checar aqui. Estou com outra dúvida, é normal aparecer esse aviso após verificar:

Sim, como não a comprovação que está chave realmente é autentica o gpg mostra esse aviso, neste caso a confiança parte do usuário, que poderá confiar editando a mesma…

  1. Editar a chave
gpg --edit-key debian-cd@lists.debian.org
  1. Definir o nível de confiança
gpg> trust
    1. No menu que se abrir escolha o nível de confiança sendo de 1 a 5, confirme, e salve…
gpg> save
  1. Reinicie o chaveiro
gpgconf --kill gpg-agent

E então prossiga com o comando de verificação novamente…

1 curtida

Cara ai eu não sei, pesquisa na internet ou pergunta para o ChatGPT as vezes ele sabe.

1 curtida

Tranquilo, valeu pela ajuda, outra dúvida o que é ChatGPT, foi mal, não quero ser chato, só sou curioso mesmo :stuck_out_tongue:

Cara o ChatGPT caiu na boca de geral pessoas da tecnologia, como você não fico sabendo: Larga mão de ser ISENTÃO, ChatGPT! 🤣 - YouTube
ChatGPT – Wikipédia, a enciclopédia livre

1 curtida

O.o, kkkkkkkkk, vou dar uma olhada. Valeu!

O chatGPT é uma assistente pessoal, o treinamento dela foi feito em 2001 ela esta congelada no tempo a 2 anos, mas para o GPG ela deve saber.

1 curtida

Este tópico foi fechado automaticamente 3 dias depois da última resposta. Novas respostas não são mais permitidas.