Debian を安全にダウンロードする

Debian を安全にダウンロードする

手の届かない本物のDebianバージョンを入手することについていくつかの質問があります。 MITM攻撃は非常に現実的であり、多くの人が自分のソフトウェアバックドアバージョンを喜んで提供しようとしています。 GPGがソフトウェアを検証する方法であることは知っていますが、どのように機能するのかわかりません。

  1. Debian を安全にダウンロードし、110% 変更されていないコピーを受け取るには?

  2. Debian のダウンロードに使用するオペレーティングシステムとコンピュータは重要ですか?お使いのオペレーティングシステムがダウンロードを破損していますか?または、ダウンロードがコンピュータに到達した後、オペレーティングシステム自体がバックドアに感染しているか破損していますか?

  3. 利用可能なオプション(ミラー、急流など)の中からDebianをダウンロードする最良の方法は何ですか?

  4. GPGは、ソフトウェアが安全で本物であることを110%保証する完璧な方法ですか?

  5. Torを介してダウンロードすると、良いか悪いのか、どんな違いがありますか?そしてその理由は何ですか?

答え1

ページの場所は次のとおりです。https://tails.boum.org/download/index.en.html#index3h1ダウンロードした画像に予期したチェックサムがあるかどうかを確認するプロセス、Webサイトで読み取られたチェックサムがディストリビュータが署名したことを確認するプロセス、ダウンロードしたキーが実際に悪意のあるキーではないという合理的な証拠を確保するプロセスを説明してください。 。 110%確信するには、Debian開発者と友達になる必要があり、彼にDebian(またはオペレーティングシステム直接)のGPGキーを直接(インターネットではなく物理メディアを介して)提供する必要があります。

答え2

Debian を安全にダウンロードし、110% 変更されていないコピーを受け取るには?

Debian インストールメディアをダウンロードしてください。添付SHA256SUMSファイルをダウンロードしてくださいSHA256SUMS.sign。次からキーを取得するDebian キーチェーンまたは、PGPキーサーバーを使用して指紋を確認してください。HTTPSを介してDebian Webサイトにアクセスする

$ gpg --recv-key --keyserver subkeys.pgp.net 6CA7B5A6
# Verify the fingerprints on https://www.debian.org/CD/verify
$ gpg --verify SHA256SUMS.sign SHA256SUMS
# The previous command must print “Good signature from …”
$ sha256sum debian-7.6.0-i386-CD-1.iso
# Compare the value with SHA256SUMS

Debian のダウンロードに使用するオペレーティングシステムとコンピュータは重要ですか?お使いのオペレーティングシステムがダウンロードを破損していますか?または、ダウンロードがコンピュータに到達した後、オペレーティングシステム自体がバックドアに感染しているか破損していますか?

インストールメディアはどこからでもダウンロードできます。ただし、SHA-256チェックサムを計算し、ファイル署名を確認し、チェックサムを内容と比較するには、信頼できるツールを備えた信頼できるシステムが必要です。破損したシステムはすべてを知らせることができますが、それはすべてではありません。実際SHA256SUMSにはSHA256SUMS。 'ティー。

官僚的な手続きであるため、保証は110%ではありません。この保証は、インターネットを介してランダムに見知らぬ人からアドバイスを受けるよりも優れています。

利用可能なオプション(ミラー、急流など)の中からDebianをダウンロードする最良の方法は何ですか?

これはセキュリティにとって重要ではありません。

GPGは、ソフトウェアが安全で本物であることを110%保証する完璧な方法ですか?

GPGはエラーがないわけではありません。愚かな出力を誤って解釈したり、誤って使用したりする可能性があります。 110%はありません。でも頑張りました。

Torを介してダウンロードすると、良いか悪いのか、どんな違いがありますか?そしてその理由は何ですか?

Torを介してダウンロードすると、チェーン内の誰かがダウンロードしたデータを変更する可能性が高くなります。ただし、上記のように修正が検出されるため、これは重要ではありません。トールは遅いです。 Torの唯一の利点は、ファイルをダウンロードするサーバーからIPアドレスを隠し、ISPからDebianをダウンロードしたという事実を隠すことです(必要に応じて)。

答え3

Debian はすべてのイメージファイルに対して MD5 チェックサムを提供し、ダウンロードしたファイルと比較して同じファイルであることを確認できます。

関連情報