Как я могу безопасно загрузить Ubuntu?

9

Я пытаюсь загрузить рабочий стол Ubuntu безопасно.

Это ссылка на веб-сайте ubuntu.com: http://releases.ubuntu.com/14.04.2/ubuntu-14.04.2-desktop-i386.iso.

А вот и ссылка на хэш SHA256: http://releases.ubuntu.com/trusty/SHA256SUMS

Проблема в том, что обе эти ссылки являются http, а сервер ubuntu.com, похоже, не поддерживает https. Можно ли как-нибудь безопасно загрузить .iso?

system-installation отметка
источник
3
Используйте BitTorrent с необходимым шифрованием.
s3lph
2
Почему вам это нужно? Вы хотите скрыть факт загрузки или что? Контрольной суммы достаточно, чтобы убедиться, что ничего не изменилось.
Pilot6
1
HTTPS или другой безопасный способ передачи защитит вас от любого, кто знает, что вы загрузили Ubuntu и контрольную сумму. Чтобы избежать манипуляций с загрузками (необходимо манипулировать обоими), вы должны защитить себя от атак типа «человек посередине» на стороне клиента.
Карл Рихтер
HTTPS MD5 хэши доступны здесь .
Дуг Смитис
2
@ Pilot6 - мне нужно, чтобы убедиться, что .iso официально выпущен ubuntu. Простые http-запросы позволяют «человеку посередине» легко и быстро изменять файл .iso. К сожалению, та же проблема относится к контрольной сумме - если я не могу получить ее через https, я не могу доверять тому, что она не была подделана.
Марк

Ответы:

2

Основные отпечатки пальцев находятся на https://help.ubuntu.com/community/VerifyIsoHowto.

В настоящее время они

C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092

Вы можете получить их обоих с помощью:

gpg --recv-key 843938DF228D22F7B3742BC0D94AA3F0EFE21092 C5986B4F1257FFA86632CBA746181433FBB75451

Если вы уже работаете в системе Ubuntu, в пакете ubuntu-keyringесть эти ключи, в /usr/share/keyrings/ubuntu-archive-keyring.gpgкоторые вы можете импортировать gpg --import /usr/share/keyrings/ubuntu-archive-keyring.gpg.

sarnold
источник
Это также работает с Debian 8, по-видимому. (И спасибо!)
хорошо относитесь к своим модам