PROBLEMA Verifica ISO Debian

[JonahAMD]

Ciao ragazzi,
ho un altro problema:
Sto scaricando la ISO live di Debian 8.1.0 per usarla su un USB, ma non ho idea di come fare per verificarne la firma digitale... (da windows). Ho installato gpg4win ma su internet non si trova una sola guida che non sia risalente al 2006... Potete aiutarmi?

 

[e_ale92]

Ciao ragazzi,
ho un altro problema:
Sto scaricando la ISO live di Debian 8.1.0 per usarla su un USB, ma non ho idea di come fare per verificarne la firma digitale... (da windows). Ho installato gpg4win ma su internet non si trova una sola guida che non sia risalente al 2006... Potete aiutarmi?

winmd5free fa al caso tuo

WinMD5 Free - Windows MD5 Utility Freeware

 

[JonahAMD]

winmd5free fa al caso tuo

WinMD5 Free - Windows MD5 Utility Freeware

Ti ringrazio per la risposta, ma ti prego di essere più dettagliato.
Una volta ero riuscito a verificare una iso di debian da terminale seguendo una guida, ma non la ricordo.
Ti parla una persona del tutto estranea a firme digitali e verifiche...
L'unico scopo è quello di assicurarmi che la iso sia firmata correttamente e procedere con la masterizzazione, quindi ti chiedo qualche informazione in più su come procedere, perchè non ho idea su come usare il programma dopo averlo scaricato e preferirei comunque usare gnugpg

 

[e_ale92]

Ti ringrazio per la risposta, ma ti prego di essere più dettagliato.
Una volta ero riuscito a verificare una iso di debian da terminale seguendo una guida, ma non la ricordo.
Ti parla una persona del tutto estranea a firme digitali e verifiche...
L'unico scopo è quello di assicurarmi che la iso sia firmata correttamente e procedere con la masterizzazione, quindi ti chiedo qualche informazione in più su come procedere, perchè non ho idea su come usare il programma dopo averlo scaricato e preferirei comunque usare gnugpg

allora :D

da terminale linux, ti basta posizionarti nella stessa cartella che contiene il file (iso, txt, png, quello che è) e dare

md5sum <nome_file>

da windows, puoi scaricare quel programmino che ti ho linkato e fare tutto da interfaccia grafica. selezioni il file e aspetti che ti restituisca l'output con l'md5 e lo confronti con il tuo :)
in alternativa, puoi incollare il tuo e premere "verify" ;)

 

[JonahAMD]

allora :D

da terminale linux, ti basta posizionarti nella stessa cartella che contiene il file (iso, txt, png, quello che è) e dare

md5sum <nome_file>

da windows, puoi scaricare quel programmino che ti ho linkato e fare tutto da interfaccia grafica. selezioni il file e aspetti che ti restituisca l'output con l'md5 e lo confronti con il tuo :)
in alternativa, puoi incollare il tuo e premere "verify" ;)

Davvero gentile, ora tutto è mooolto più chiaro.
Unicco dubbio rimasto, il codice md5 di debian dove lo trovo? Nella directory dove scarico il file trovo altri file tipo MD512sums e un file con lo stesso nome ma con estensione sign (che probabilmente serve a verificare il file md512sums stesso, vero?).
che faccio, scarico l'md512sums, lo apro col blocco note e trovo il codice? magari prima lo verifico pure?

- - - Updated - - -

aspetta ho sbagliato... sono questi i file che trovo:

 

[e_ale92]

Davvero gentile, ora tutto è mooolto più chiaro.
Unicco dubbio rimasto, il codice md5 di debian dove lo trovo? Nella directory dove scarico il file trovo altri file tipo MD512sums e un file con lo stesso nome ma con estensione sign (che probabilmente serve a verificare il file md512sums stesso, vero?).
che faccio, scarico l'md512sums, lo apro col blocco note e trovo il codice? magari prima lo verifico pure?

- - - Updated - - -

aspetta ho sbagliato... sono questi i file che trovo:
Visualizza allegato 172977

esatto, dovrebbero essere quelli :)

 

[JonahAMD]

esatto, dovrebbero essere quelli :)

Perfetto! Da Mac è tutto più semplice perchè funziona come da terminale linux, adesso ho usato il comando md5 integrato in osx
Visto che sei esperto approfitto per togliermi altri dubbi :')
Volendo verificare il file stesso md5sums uso kleopatra da windows e il suo file .sign giusto?
E quegli altri file SHA non servono? Erano usati in precedenza per i vecchi sistemi di crittografia se non ho capito male

 

[e_ale92]

Perfetto! Da Mac è tutto più semplice perchè funziona come da terminale linux, adesso ho usato il comando md5 integrato in osx
Visto che sei esperto approfitto per togliermi altri dubbi :')
Volendo verificare il file stesso md5sums uso kleopatra da windows e il suo file .sign giusto?
E quegli altri file SHA non servono? Erano usati in precedenza per i vecchi sistemi di crittografia se non ho capito male

mmm a dire il vero non sono così esperto perché tutti questi problemi non me li sono mai posti xD
scarico l'ISO dal sito e installo. mi è capitato di verificare l'md5 solo un paio di volte e non sono mai andato oltre md5sum da terminale + controllo manuale con l'md5 che trovavo sul sito del distributore della distro (una volta archlinux e una volta ubuntu arm, per quel che ricordo).

ad ogni modo, sul sito debian trovi un how to per verificare l'integrità delle distro debian, magari leggendo quello riesci a risolvere i tuoi dubbi :)

Controllare l'integrità delle immagini Debian - Guide@Debianizzati.Org

se posso, come mai tutti questi controlli?

 

[JonahAMD]

mmm a dire il vero non sono così esperto perché tutti questi problemi non me li sono mai posti xD
scarico l'ISO dal sito e installo. mi è capitato di verificare l'md5 solo un paio di volte e non sono mai andato oltre md5sum da terminale + controllo manuale con l'md5 che trovavo sul sito del distributore della distro (una volta archlinux e una volta ubuntu arm, per quel che ricordo).

ad ogni modo, sul sito debian trovi un how to per verificare l'integrità delle distro debian, magari leggendo quello riesci a risolvere i tuoi dubbi :)

Controllare l'integrità delle immagini Debian - [email]Guide@Debianizzati.Org[/email]

se posso, come mai tutti questi controlli?

Ammetto che è anche un poco di paranoia, ma credo sia buona norma verificare la firma dell'ISO di ogni distro, magari anche per assicurarmi che il file sia integro :)
Poi sarà comunque destinato a contenere dati di lavoro quindi non sono mai abbastanza sicuro.
Grazie mille per l'aiuto e la documentazione che mi hai allegato :)

 

[e_ale92]

Ammetto che è anche un poco di paranoia, ma credo sia buona norma verificare la firma dell'ISO di ogni distro, magari anche per assicurarmi che il file sia integro :)
Poi sarà comunque destinato a contenere dati di lavoro quindi non sono mai abbastanza sicuro.
Grazie mille per l'aiuto e la documentazione che mi hai allegato :)

non hai tutti i torri :)

cmq, per verificare il file md5sum non so come fare... non credo venga rilasciato un codice anche per quello, perché poi bisognerebbe rilasciarlo anche del file che lo contiene e così via xD o della pagina HTML.
quindi... boh... non saprei xD

p.s. di nulla ;)

 

[EmanueleC]

Ammetto che è anche un poco di paranoia, ma credo sia buona norma verificare la firma dell'ISO di ogni distro, magari anche per assicurarmi che il file sia integro :)
Poi sarà comunque destinato a contenere dati di lavoro quindi non sono mai abbastanza sicuro.
Grazie mille per l'aiuto e la documentazione che mi hai allegato :)

Allora l'installazione su USB non è l'ideale, il rischio di perdita dati, corruzione file, e guasto della chiavetta è più rischioso a mio parere. Meglio l'installazione su hard disk.

 

[alex87alex]

Livello paranoia 1000 :asd:

Comunque di norma i casi sono due:
1) sei sotto attacco mitm, inutile verificare l'md5 visto che te ne fornirebbe uno l'hacker stesso
2) il sito è stato bucato e fornisce files malevoli

Nel primo caso basta una semplice connessione a google.it e verifichi il certificato
Nel secondo invece significa che tutti quelli che stanno scaricando le iso stanno installando malware

Solo il secondo caso è veramente interessante. Di norma si controlla md5 scaricando quello corretto dal sito ufficiale e poi si confronta con quello generato dalla iso scaricata da un altro sito. Quando passi dal sito ufficiale basta un rapido controllo dell'md5 per verificare l'integrità del file e basta, IMHO

 

[JonahAMD]

Allora l'installazione su USB non è l'ideale, il rischio di perdita dati, corruzione file, e guasto della chiavetta è più rischioso a mio parere. Meglio l'installazione su hard disk.

Lo chiamano drive USB ma a me sembra più un SSD portatile :lol:

Livello paranoia 1000 :asd:

Comunque di norma i casi sono due:
1) sei sotto attacco mitm, inutile verificare l'md5 visto che te ne fornirebbe uno l'hacker stesso
2) il sito è stato bucato e fornisce files malevoli

Nel primo caso basta una semplice connessione a google.it e verifichi il certificato
Nel secondo invece significa che tutti quelli che stanno scaricando le iso stanno installando malware

Solo il secondo caso è veramente interessante. Di norma si controlla md5 scaricando quello corretto dal sito ufficiale e poi si confronta con quello generato dalla iso scaricata da un altro sito. Quando passi dal sito ufficiale basta un rapido controllo dell'md5 per verificare l'integrità del file e basta, IMHO

Grazie per l'aiuto... non è quello il problema, sono certo di non essere vittima di un mitm, solo che mi serve una distro affidabile e la mia connessione ADSL è disgustosa quindi il rischio di corruzione è alto :asd:
nah dei virus e malware non sono molto preoccupato sui sistemi non Win... Anzi ho appena finito un processo di disinfezione su un PC Winzozz che non finiva mai... adesso credo sia tutto a posto però

- - - Updated - - -

Anzi più che un mitm temo che la iso possa essere modificata da un malware sul sitema stesso dove l'ho scaricata:asd:

 

[alex87alex]

Vivi tranquillo, sono ben altre cose quelle di cui ti dovresti preoccupare :asd:

 

[JonahAMD]

Vivi tranquillo, sono ben altre cose quelle di cui ti dovresti preoccupare :asd:

Ma cosa vorresti dire?
Se mi sono posto il problema di fare la verifica significa che ne ho la necessità, come detto, per problemi di connessione e questioni di lavoro.
Non capisco il tuo intervento, senza offesa...