Jak mogę bezpiecznie pobrać Ubuntu?

9

Próbuję bezpiecznie pobrać pulpit Ubuntu.

To jest link na stronie ubuntu.com: http://releases.ubuntu.com/14.04.2/ubuntu-14.04.2-desktop-i386.iso

A oto link do skrótu SHA256: http://releases.ubuntu.com/trusty/SHA256SUMS

Problem w tym, że oba te linki są http, a serwer ubuntu.com nie obsługuje https. Czy jest jakiś sposób, aby bezpiecznie pobrać .iso?

system-installation znak
źródło
3
Użyj BitTorrenta z wymaganym szyfrowaniem.
s3lph
2
A po co ci to? Chcesz ukryć fakt pobierania lub co? Suma kontrolna wystarczy, aby mieć pewność, że nic się nie zmieniło.
Pilot6
1
HTTPS lub inny bezpieczny sposób przesyłania chroniłby cię przed wszystkimi, którzy wiedzą, że pobrałeś Ubuntu i sumę kontrolną. Aby uniknąć manipulowania pobieraniem (konieczne byłoby zmanipulowanie obu), musisz chronić się przed atakami typu man-in-the-middle po stronie klienta.
Karl Richter,
Skróty HTTPS MD5 są dostępne tutaj .
Doug Smythies,
2
@ Pilot6 - Potrzebuję tego, aby upewnić się, że .iso jest oficjalnie wydanym przez ubuntu. Zwykłe żądania HTTP pozwalają „człowiekowi pośrodku” na łatwą zmianę pliku .iso w locie. Niestety ten sam problem dotyczy sumy kontrolnej - jeśli nie mogę jej uzyskać za pośrednictwem protokołu https, nie mogę ufać, że nie została zmieniona.
Mark

Odpowiedzi:

2

Kluczowe odciski palców znajdują się na https://help.ubuntu.com/community/VerifyIsoHowto

Obecnie są

C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092

Możesz je odzyskać za pomocą:

gpg --recv-key 843938DF228D22F7B3742BC0D94AA3F0EFE21092 C5986B4F1257FFA86632CBA746181433FBB75451

Jeśli jesteś już w systemie Ubuntu, pakiet ubuntu-keyringma te klucze, za pomocą /usr/share/keyrings/ubuntu-archive-keyring.gpgktórych możesz importować gpg --import /usr/share/keyrings/ubuntu-archive-keyring.gpg.

Sarnold
źródło
Najwyraźniej działa to również z Debiana 8. (I dziękuję!)
traktuj swoje mody dobrze