web-dev-qa-db-fra.com

Ubuntu 16.04.5 sha256 questions de discordance de signature

Il me semble que le fichier .iso Ubuntu 16.04.5 actuel et son hachage gpg ne correspondent pas sur releases.ubuntu.com:

  1. J'ai DL /16.04.5/ubuntu-16.04.5-desktop-AMD64.iso ( http://releases.ubuntu.com/xenial et http: // tw. communiqués.ubuntu.com/16.04 )

  2. Voulant vérifier l’intégrité du fichier, je l’ai cherché sur Google et j’ai trouvé https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubunt qui m’invite à DL les sha256sums et sha256sums.gpg

  3. Je vérifie que le fichier de signature sha256 provient d'Ubuntu

    gpg --verify SHA256SUMS.gpg SHA256SUMS

(commencez par obtenir les bonnes clés d’ubuntu keysever via gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092)

  1. sha256 manuel du .iso shasum -a 256 ubuntu-16.04.5-desktop-AMD64.iso

    génère

     c66919536dc9dfa46353a195db25b37328bb5c66eaa382ff79b285c2c39d22fb ubuntu-16.04.5-desktop-AMD64.iso

    en attendant (http://releases.ubuntu.com/16.04.5/SHA256SUMS listes

     6b505fd3b6f816f8ff058710f127a9900e9233e496783ce08a0022814d224810

    comme la somme de contrôle attendue

    => il apparaît que les fichiers 16.04.5 .iso qui sont actifs depuis plus d'un mois (dernière modification 2018-07-31 ) ne sont en réalité pas ceux que le fichier gpg certifie viennent d'Ubuntu.

Est-ce que je gâche une étape dans la validation de l'intégrité du fichier? Qui dois-je contacter en cas de non concordance de la somme de contrôle? ? (il serait bon d'ajouter cela au tutoriel!)

Merci pour vos conseils/conseils, https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubunt semble avoir quelques problèmes mineurs - je me sens obligé de courir à travers de nombreuses étapes pour valider l’intégrité de l’iso (d’abord, il fallait installer brew via /usr/bin/Ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)", puis essayer d’installer coreutils pour arriver à sha256sums sans succès, malgré des tutoriels affirmant que cela activerait la commande sur OSX ... et ensuite Je devais chercher manuellement comment calculer le hash de sha256 en utilisant shasum -a 256 <myfile>

Je sais que cela en vaut la peine à la fin, mais il me semble que plusieurs étapes à franchir pour valider l'authenticité d'un fichier, un moyen plus simple d'authentifier des fichiers .iso?

// remarque: j'ai essayé les versions serveur et bureau - je n'ai pas essayé les fichiers bittorrent.

EDIT: J'ai ouvert une nouvelle question au lieu de retravailler celle-ci pour ajouter tous les miroirs et toutes les versions utilisés à Mon Ubuntu SHA256SUM ne correspond pas, peu importe la version ou le miroir ... qu'est-ce que je fais mal?

16.04gnupgsha256
1
FJX

Où avez-vous téléchargé votre ISO Ubuntu 16.04.5?

Pour tester votre hypothèse,

  1. J'ai téléchargé l'ISO en prenant 1h 31 min 1s depuis mon miroir local [officiel]
  2. J'ai téléchargé le fichier SHA256SUM (pour diff à partir du site principal)

Le résultat était

6b505fd3b6f816f8ff058710f127a9900e9233e496783ce08a0022814d224810  ubuntu-16.04.5-desktop-AMD64.iso

exactement ce que cela aurait dû être selon le site officiel.

Où l'avez-vous téléchargé? ou peut-être qu'il a échoué à cause d'une mauvaise connexion (il ne correspond pas parce que votre téléchargement est invalide)

Quant à qui contactez-vous - si vous pensez qu'il y a un problème dans la documentation, créez un bogue dans le tableau de bord [avec ubuntu-docs comme package].

En ce qui concerne un mauvais téléchargement - je pense que la somme de contrôle est correcte, que votre téléchargement était corrompu (à mon avis) ou que vous avez téléchargé votre ISO à partir d'un site corrompu ou invalide. Au moins ma copie correspondait parfaitement.

note: par miroir officiel, je veux dire que c'est celui qui se trouve sur https://launchpad.net/ubuntu/+cdmirrors

Vous avez indiqué la commande utilisée pour saisir les clés gpg sous la forme gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xZZZZZ 0xZZZZZ qui n'était pas ce que j'avais utilisé ni ce que j'avais vu dans la documentation. Avez-vous remplacé la vraie clé que vous avez utilisée avec Z? ou pensez-vous que cette information était privée alors vous l'avez cachée?

1
guiverc