Debian-Images prüfen: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
K Textersetzung - „GPG“ durch „GnuPG“
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Verifying authenticity of Debian images ==
== Authentizität von Debian-Images prüfen ==
Official releases of Debian installation and live images come with signed checksum files; look for them alongside the images in the <code>iso-cd</code>, <code>jigdo-dvd</code>, <code>iso-hybrid</code> etc. directories. These files allow you to check that the images you download are correct. First of all, the checksum can be used to check that the images have not been corrupted during download. Secondly, the signatures on the checksum files allow you to confirm that the images are the ones created and released by Debian, and have not been tampered with.
Offizielle Veröffentlichungen von Debian-Installations- und Live-Images werden mit signierten Prüfsummen-Dateien ausgeliefert
* Suchen Sie nach ihnen neben den Images in den Verzeichnissen iso-cd, jigdo-dvd, iso-hybrid usw..  
* Mit diesen Dateien können Sie überprüfen, ob die heruntergeladenen Images korrekt sind.  
* Anhand der Prüfsumme können Sie zum einen überprüfen, ob die Bilder beim Herunterladen beschädigt wurden.  
* Zweitens können Sie anhand der Signaturen in den Prüfsummendateien überprüfen, ob es sich um die von Debian erstellten und freigegebenen Images handelt, die nicht manipuliert wurden.


To validate the contents of an image file, be sure to use the appropriate checksum tool. Cryptographically strong checksum algorithms (SHA256 and SHA512) are available for every releases; you should use the matching tools <code>sha256sum</code> or <code>sha512sum</code> to work with these.
== Inhalt eines Abbildes prüfen ==
* Entsprechendes Prüfsummentool verwenden
* Kryptographisch starke Prüfsummenalgorithmen (SHA256 und SHA512) sind für alle Versionen verfügbar


To ensure that the checksums files themselves are correct, use GnuPG to verify them against the accompanying signature files (e.g. <code>SHA512SUMS.sign</code>). The keys used for these signatures are all in the Debian GPG keyring and the best way to check them is to use that keyring to validate via the web of trust. To make life easier for people who don't have ready access to an existing Debian machine, here are details of the keys that have been used to sign releases in recent years, and links to download the public keys directly:
=== Ensure the checksums files themselves are correct ===
* use GnuPG to verify them against the accompanying signature files (e.g. SHA512SUMS.sign)
* The keys used for these signatures are all in the Debian GnuPG keyring and the best way to check them is to use that keyring to validate via the web of trust
 
== To make life easier ==
* for people who don't have ready access to an existing Debian machine
* here are details of the keys that have been used to sign releases in recent years, and links to download the public keys directly:
  pub  rsa4096/988021A964E6EA7D 2009-10-03
  pub  rsa4096/988021A964E6EA7D 2009-10-03
       Key fingerprint = 1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D
       Key fingerprint = 1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D
Zeile 16: Zeile 28:
       Key fingerprint = F41D 3034 2F35 4669 5F65  C669 4246 8F40 09EA 8AC3
       Key fingerprint = F41D 3034 2F35 4669 5F65  C669 4246 8F40 09EA 8AC3
  uid                  Debian Testing CDs Automatic Signing Key <debian-cd@lists.debian.org>
  uid                  Debian Testing CDs Automatic Signing Key <debian-cd@lists.debian.org>
[[Kategorie:Debian]]

Aktuelle Version vom 18. Februar 2024, 12:44 Uhr

Authentizität von Debian-Images prüfen

Offizielle Veröffentlichungen von Debian-Installations- und Live-Images werden mit signierten Prüfsummen-Dateien ausgeliefert

  • Suchen Sie nach ihnen neben den Images in den Verzeichnissen iso-cd, jigdo-dvd, iso-hybrid usw..
  • Mit diesen Dateien können Sie überprüfen, ob die heruntergeladenen Images korrekt sind.
  • Anhand der Prüfsumme können Sie zum einen überprüfen, ob die Bilder beim Herunterladen beschädigt wurden.
  • Zweitens können Sie anhand der Signaturen in den Prüfsummendateien überprüfen, ob es sich um die von Debian erstellten und freigegebenen Images handelt, die nicht manipuliert wurden.

Inhalt eines Abbildes prüfen

  • Entsprechendes Prüfsummentool verwenden
  • Kryptographisch starke Prüfsummenalgorithmen (SHA256 und SHA512) sind für alle Versionen verfügbar

Ensure the checksums files themselves are correct

  • use GnuPG to verify them against the accompanying signature files (e.g. SHA512SUMS.sign)
  • The keys used for these signatures are all in the Debian GnuPG keyring and the best way to check them is to use that keyring to validate via the web of trust

To make life easier

  • for people who don't have ready access to an existing Debian machine
  • here are details of the keys that have been used to sign releases in recent years, and links to download the public keys directly:
pub   rsa4096/988021A964E6EA7D 2009-10-03
      Key fingerprint = 1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D
uid                  Debian CD signing key <debian-cd@lists.debian.org>

pub   rsa4096/DA87E80D6294BE9B 2011-01-05 [SC]
      Key fingerprint = DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
uid                  Debian CD signing key <debian-cd@lists.debian.org>

pub   rsa4096/42468F4009EA8AC3 2014-04-15 [SC]
      Key fingerprint = F41D 3034 2F35 4669 5F65  C669 4246 8F40 09EA 8AC3
uid                  Debian Testing CDs Automatic Signing Key <debian-cd@lists.debian.org>