我有几个关于获得正版、不受干扰的 Debian 版本的问题。 MITM 攻击是非常真实的,许多人都愿意向您提供他们自己的后门版本的软件。我知道 GPG 是一种验证软件的方法,但我不知道它是如何工作的。
如何安全地下载 Debian 并确保您获得的 110% 是未更改的副本?
您使用什么操作系统和机器来下载 Debian 是否重要?您使用的操作系统是否会损害下载,或者在下载到达计算机后,如果操作系统本身存在后门或受到损害?
从可用选项(即镜像、Torrent 等)中,哪种方法是下载 Debian 的最佳方法?
GPG 是一种万无一失的方法,可以 110% 保证软件的安全和正版吗?
通过 Tor 下载它是否有任何区别,无论好坏,为什么?
答案1
页面位于https://tails.boum.org/download/index.en.html#index3h1解释验证您下载的图像是否具有预期校验和的过程,验证您在网站上读取的校验和是否由分发者签名的过程,有合理证据证明您下载的密钥确实不是恶意密钥的过程。要 110% 确定,您必须与 Debian 开发人员成为朋友,并让他亲自(不是通过互联网,而是在物理介质上)向您提供 Debian 的 GPG 密钥(或直接提供操作系统)
答案2
如何安全地下载 Debian 并确保您获得的 110% 是未更改的副本?
下载 Debian 安装介质。下载随附的SHA256SUMS文件SHA256SUMS.sign。从以下位置导入密钥Debian 钥匙圈或 PGP 密钥服务器并检查其指纹通过 HTTPS 访问 Debian 网站。
$ gpg --recv-key --keyserver subkeys.pgp.net 6CA7B5A6
# Verify the fingerprints on https://www.debian.org/CD/verify
$ gpg --verify SHA256SUMS.sign SHA256SUMS
# The previous command must print “Good signature from …”
$ sha256sum debian-7.6.0-i386-CD-1.iso
# Compare the value with SHA256SUMS
您使用什么操作系统和机器来下载 Debian 是否重要?您使用的操作系统是否会损害下载,或者在下载到达计算机后,如果操作系统本身存在后门或受到损害?
您可以在任何地方下载安装介质。但对于计算 SHA-256 校验和、验证文件签名以及将校验和与 的内容进行比较的步骤,您需要一台具有可信工具的可信机器 — 一台受感染的机器可能会告诉您一切都很好,但实际上SHA256SUMS情况SHA256SUMS并非如此。 't。
保证不是 110%,因为那是官样文章。这种保证比通过互联网随机听取陌生人的建议更好。
从可用选项(即镜像、Torrent 等)中,哪种方法是下载 Debian 的最佳方法?
这对于安全来说并不重要。
GPG 是一种万无一失的方法,可以 110% 保证软件的安全和正版吗?
GPG 并非万无一失;傻瓜可能会误解其输出或以其他方式错误地使用它。没有110%这样的说法。但它已经尽力了。
通过 Tor 下载它是否有任何区别,无论好坏,为什么?
通过 Tor 下载只会增加链上某人修改下载材料的可能性。然而,如上所述,这并不重要,因为修改会被检测到。 Tor 速度较慢。 Tor 的唯一好处是向您下载文件的服务器隐藏您的 IP 地址,并隐藏您从 ISP 下载 Debian 的事实(如果您关心的话)。
答案3
Debian 为所有映像文件提供 MD5 校验和,然后您可以将其与下载的文件进行比较,以确保它是同一文件。