Boa noite, queria saber como posso verificar a autenticidade da iso do debian, já entendi como funciona a parte de checar com o SHA256SUM, SHA512SUM e o MD5SUM, porém dizem que não é tão seguro para verificar, pois algum invasor pode mudar a hash. Agora quero testar através do pgp, acabei vendo alguns vídeos e dando uma pesquisada, mas a maioria é de outras distros, não tem nenhum vídeo em inglês ou pt-br no caso do debian, já li alguns artigos, mas mesmo assim não entendi. Se puderem me ajudar melhor, passo a passo de como fazer a checagem, eu agradeceria.
Vc vai baixar a imagem ISO, o SHA512SUM, SHA512SUMS.sign
Esses 2 arquivos provam a autenticidade da ISO baixada que ela realmente é autentica e lançada pela equipe Debian.
Fazer a verificação de integridade da ISO você ja disse que fez verificando o SHAxxxSUM, agora é verificar se o SHAxxxSUM é autentico com a assinatura.
Para isso você vai usar o software GPG, instale ele no seu Arch Linux e siga um tutorial da internet.
Veja você tem que verificar a autenticidade da assinatura digital “SHAxxxSUM.sing” do arquivo SHAxxxSUM e este prova que a ISO esta integra.
Você tem que baixar as assinaturas “.sing” equivalentes para as SHAxxxSUM e baixar a ISO equivalente a SHAxxxSUM, é costume colocar elas juntas na mesma pagina da ISO.
Aqui esta um tutorial de como usar o GPG: Usando o GPG para Autenticação e Criptografia
Verifique a autenticidade dos hashs encontrados no arquivo SHA512SUMS
com a assinatura contida em SHA512SUMS.sign
, para baixar os arquivos basta acessar a pagina de download, segue exemplo…
- Baixe os arquivos contendo os hashs, seguido do arquivo contendo a assinatura para o mesmo.
wget https://cdimage.debian.org/debian-cd/current-live/amd64/iso-hybrid/SHA512SUMS{,.sign}
- Importe a chave para verificação das assinaturas para o Debian CD
gpg --keyserver keyring.debian.org --recv-keys 0xDA87E80D6294BE9B
- Realize a verificação de autenticidade
gpg --keyserver keyring.debian.org --verify SHA512SUMS.sign SHA512SUMS
A saída desejada é algo contendo a seguinte linha…
...
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
...
Mais informações Verifying authenticity of Debian images
Ai você me pergunta, como eu vou saber a autenticidade do site Debian que eu estou baixando?
Sim existe o risco de você sofrer um envenenamento de DNS e cair em site falsificado do Debian.
Para verificar a autenticidade do site que você esta é so vc olhar a chave de autenticação por assinatura digital do site.
Como faço isso?
Na imagem acima tem a barra de endereço que é onde vc digita o site e a esquerda na barra tem 2 cadeados o segundo cadeado o escurinho é o cadeado de segurança do site.
Clicando nele vai abrir um popup dizendo por quem ele foi homologado ai você clica em algum lugar nesse popup para abrir o popup desta janela “informação da pagina” e então em "identidade do site você clica em “Ver certificados” ai no firefox abre outra “aba” mas em fim, é esperado abrir um monte de informação do site e certificado incluindo mostrando as assinaturas do site.
Vlw.
Valeu pela ajuda @null e @aguamole, consegui checar aqui. Estou com outra dúvida, é normal aparecer esse aviso após verificar:
Sim, como não a comprovação que está chave realmente é autentica o gpg
mostra esse aviso, neste caso a confiança parte do usuário, que poderá confiar editando a mesma…
- Editar a chave
gpg --edit-key debian-cd@lists.debian.org
- Definir o nível de confiança
gpg> trust
-
- No menu que se abrir escolha o nível de confiança sendo de 1 a 5, confirme, e salve…
gpg> save
- Reinicie o chaveiro
gpgconf --kill gpg-agent
E então prossiga com o comando de verificação novamente…
Cara ai eu não sei, pesquisa na internet ou pergunta para o ChatGPT as vezes ele sabe.
Tranquilo, valeu pela ajuda, outra dúvida o que é ChatGPT, foi mal, não quero ser chato, só sou curioso mesmo
Cara o ChatGPT caiu na boca de geral pessoas da tecnologia, como você não fico sabendo: Larga mão de ser ISENTÃO, ChatGPT! 🤣 - YouTube
ChatGPT – Wikipédia, a enciclopédia livre
O.o, kkkkkkkkk, vou dar uma olhada. Valeu!
O chatGPT é uma assistente pessoal, o treinamento dela foi feito em 2001 ela esta congelada no tempo a 2 anos, mas para o GPG ela deve saber.
Este tópico foi fechado automaticamente 3 dias depois da última resposta. Novas respostas não são mais permitidas.