V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Osk
V2EX  ›  信息安全

问个白痴问题: Ubuntu ISO 的 hash 在哪里?

  •  
  •   Osk · 2017-12-18 19:56:31 +08:00 · 3765 次点击
    这是一个创建于 2567 天前的主题,其中的信息可能已经有所发展或是发生改变。

    纠结于 HTTPS

    http://releases.ubuntu.com/16.04/MD5SUMS 有 hash,但是不是 https,强行 https 无法访问。

    http://cdimage.ubuntu.com 也不支持 https

    帮助页面

    https://help.ubuntu.com/community/UbuntuHashes ,跳转来跳转去,还是没看到 hash,还是 http 啊。

    只能上 GPG 了

    使用 gpg 来验证看起来还差不多,但 Windows 用户怎么办?

    https://help.ubuntu.com/community/VerifyIsoHowto

    https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu

    比较其他 distro

    debian: https://cdimage.debian.org/debian-cd/current/i386/iso-cd/SHA1SUMS

    archlinux: 下载页面写着呢


    主要是之前被 isp 劫持过 exe 下载链接,从此患上了 “非 https 恐惧症”。

    16 条回复    2017-12-19 01:09:05 +08:00
    longear
        1
    longear  
       2017-12-18 20:18:59 +08:00
    http://cdimage.ubuntu.com 各个发行版 release 目录中有 下面几个文件
    SHA1SUMS
    SHA1SUMS.gpg
    SHA256SUMS
    SHA256SUMS.gpg

    这几个文件很小,可以托人从其他可靠途径获得,然后就可以验证了。
    Osk
        2
    Osk  
    OP
       2017-12-18 20:27:18 +08:00
    @longear 我看到了这几个文件,主要是纠结于它不支持 https。。。
    CEBBCAT
        3
    CEBBCAT  
       2017-12-18 20:37:21 +08:00 via Android
    我教给你好了,把你算出来的 md5 放到谷歌上去搜,能搜到一版就代表没问题
    imxieke
        4
    imxieke  
       2017-12-18 20:37:59 +08:00
    autoxbc
        5
    autoxbc  
       2017-12-18 20:43:36 +08:00
    楼主这个思路很好的,Ubuntu 的发行没有可信链
    Osk
        6
    Osk  
    OP
       2017-12-18 20:47:25 +08:00
    @CEBBCAT 我就是这么验证的,只是感觉这样很滑稽。

    @imxieke ustc 也是从官方的源同步过来的,虽然往源里面投毒不太现实,但只要想,就做的到。
    Osk
        7
    Osk  
    OP
       2017-12-18 20:49:29 +08:00
    @autoxbc 靠 GPG 验证存放 hash 值文件还是没问题的,毕竟说明 gpg key 的页面是 https 的,只是对 windows 用户很不友好
    imxieke
        8
    imxieke  
       2017-12-18 21:00:45 +08:00
    @Osk #6 如果这么想那就没辙了 怕是只能自己审核源代码 然后自己定制了
    pq
        9
    pq  
       2017-12-18 21:30:00 +08:00
    @autoxbc 嗯,我早说过,在信任链方面,Deb 系真不如 rpm 系的 Fedora/RHEL,看看 Fedora 的: https://getfedora.org/verify

    而且人家的软件仓库是从中心到镜像节点的链式 hash 验证加 rpm 的 GPG 签名校验双保险,deb 包则大多根本没有签名,无论是社区化的 Debian,还是公司化的 Ubuntu,默认都是不检查 deb 包的签名的,只能通过一个 InRelease 文件的 GPG 签名,然后通过它的 hash 码来检查 deb 包,感觉比 Fedora 的体系要脆弱多了。。。
    pq
        10
    pq  
       2017-12-18 21:33:22 +08:00
    遇到这种没有 https 的 hash 码,我的办法一般是找个几个国外的 https web proxy 同时访问其官网链接,多节点相互印证。http 劫持这种事,基本只发生在没有底线的天朝运营商上。
    autoxbc
        11
    autoxbc  
       2017-12-19 00:27:19 +08:00
    @pq #9 链式 hash 验证是什么?只查到了递归哈希链,这要求每次鉴权后存储新的令牌,看着不适合做包发布
    AEANWspPmj3FUhDc
        12
    AEANWspPmj3FUhDc  
       2017-12-19 00:30:06 +08:00 via Android
    楼主怕不是有被迫害妄想症哦
    xratzh
        13
    xratzh  
       2017-12-19 00:43:31 +08:00
    @ivlioioilvi 上次 linuxmint 官网的 ISO 似乎就被替换了,加了东西。
    Humorce
        14
    Humorce  
       2017-12-19 00:50:51 +08:00 via iPhone
    那么你更新的时候还是要被劫持的。
    pq
        15
    pq  
       2017-12-19 01:05:46 +08:00   ❤️ 1
    @autoxbc 呵呵,这是我自己发明的新名词。。。:D
    dnf 首先从官方服务器 https 获取 metalink xml,里面包含元数据文件的 hash 码,然后到镜像取元数据包并校验,元数据包中则包含所有软件包的 hash 码,所以,这条信任链是绝对完整的。
    pq
        16
    pq  
       2017-12-19 01:09:05 +08:00
    @Humorce 只要更新机制足够安全,是完全可以避免中途被恶意篡改的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1027 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:06 · PVG 03:06 · LAX 11:06 · JFK 14:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.