我知道检查 Ubuntu ISO 的哈希值对于验证下载的完整性和真实性非常重要。如果哈希值匹配,并且 gpg 签名验证了哈希文件,这是否可以保证 ISO 是安全的并且没有被感染?我记得当 Linux Mint 被黑客入侵时,他们说的一件事就是检查哈希值。这是否意味着如果我的电脑上有病毒并且它试图感染我的 Ubuntu ISO,它会更改 sha256sum 哈希值?
谢谢!
答案1
如果 PGP 签名经过验证,且签名哈希值匹配,则意味着 ISO 是由 Ubuntu 团队的构建过程创建的。下载数据时没有任何东西篡改数据。但是,这并不能说明构建过程本身。那可能会受到威胁并产生恶意软件。
但它确实能保证你的系统上没有任何东西修改 ISO。从实际意义上讲,签名是无法伪造的。