我发现包含各种 ubuntu iso 文件哈希的 gpg 签名文件均不包含 mini.iso 文件的哈希。我发现的 mini.iso 文件的唯一哈希是同一页面上的纯 md5sum,其中包含指向文件本身的链接:https://help.ubuntu.com/community/Installation/MinimalCD
该页面至少是 https。据我所知,实际文件甚至没有最低限度的保护。真的,伙计们,我希望你能指出我遗漏的带有 gpg 签名哈希的页面,最好是接受 https 的页面。因为如果不是,这对于 2016 年末来说真的很蹩脚,你不觉得吗?几年前就证明 Md5sum 是不安全的,即使我们忽略了这一点,为什么它们被排除在 gpg 签名列表之外?请告诉我我忽略了什么。
答案1
Ubuntu 始终在下载服务器上提供签名的哈希文件。在每个映像目录中,都有多个具有相应签名的哈希文件。以下示例列表Ubuntu 16.04 LTS AMD64:
[ ] MANIFEST 2016-08-10 19:07 1.0K
[ ] MANIFEST.udebs 2016-08-10 19:07 23K
[ ] MD5SUMS 2016-08-10 19:07 3.0K
[ ] MD5SUMS.gpg 2016-08-10 19:07 933
[ ] SHA1SUMS 2016-08-10 19:07 3.3K
[ ] SHA1SUMS.gpg 2016-08-10 19:07 933
[ ] SHA256SUMS 2016-08-10 19:07 4.2K
[ ] SHA256SUMS.gpg 2016-08-10 19:07 933
[DIR] cdrom/ 2016-08-10 19:07 -
[DIR] hd-media/ 2016-08-10 19:07 -
[DIR] netboot/ 2016-08-10 19:07 -
[ ] udeb.list 2016-08-10 19:07 4.3K
该minimal.iso文件存储在netboot目录中。