一段时间以来,我一直在想,是否真的需要验证 PGP 签名和 sha256 哈希来检查下载的 ISO 中是否存在恶意软件。每次我尝试用谷歌搜索这个问题,我都会得到相同的答案:有时/可能/它可能有用。我试图为这个问题找到是或否的答案,因为我能找到的所有答案都是可疑的。
所以我有以下问题:我是否需要验证 PGP 签名以确保我的操作系统从一开始就没有受到损害?我是否需要验证 sha256 哈希以确保我的 ISO 文件没有受到损害?
提前致谢!
答案1
检查 SHA256SUM 可以告诉您 .iso(实际上,任何文件)是否在进入系统的途中被损坏(任何损坏,不仅仅是恶意软件)。检查 PGP 签名可以验证 SHA256SUM 提供商的身份。您需要验证这些吗?是的,始终需要。来自 55 年以上的系统管理员经验。