Verifica della iso debian9.9 kde tramite SHA512SUMS e SHA512SUMS.sign

4 risposte [Ultimo contenuto]
Ritratto di 8brusco8
8brusco8
(Geek)
Offline
Geek
Iscritto: 30/05/2014
Messaggi: 69

Ciao a tutti!
Non scrivo da molto ma ho bisogno del vostro aiuto in quanto utenti ben più esperti di me.

Intendo installare la iso live 9.9 con kde e previamente controllarla attraverso i file SHA512SUMS e SHA512SUMS.sig QUI presenti.

Il fatto è che la guida che seguo ( QUESTA ) non è affatto intuitiva per chi sia alle prime armi.

1) Dandomi errore il primo comando suggerito dalla guida per generare una cartella, ho provveduto graficamente a crearla inserendovi la iso e due file gedit in cui ho copia-incollato il contenuto testuale del sha512sums e sha512sums.sign (firefox non li tratta come file scaricabili... ho fatto bene a procedere così?)

2) Nel terminale mi sposto su questa cartella (che ho messo nei Documenti e chiamato provalive) con
cd Documenti/provalive
e dò
sha512sum -c SHA512SUMS
risulta:

sha512sum: debian-live-9.9.0-amd64-cinnamon.contents: File o directory non esistente
debian-live-9.9.0-amd64-cinnamon.contents: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-cinnamon.iso: File o directory non esistente
debian-live-9.9.0-amd64-cinnamon.iso: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-cinnamon.log: File o directory non esistente
debian-live-9.9.0-amd64-cinnamon.log: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-cinnamon.packages: File o directory non esistente
debian-live-9.9.0-amd64-cinnamon.packages: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-gnome.contents: File o directory non esistente
debian-live-9.9.0-amd64-gnome.contents: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-gnome.iso: File o directory non esistente
debian-live-9.9.0-amd64-gnome.iso: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-gnome.log: File o directory non esistente
debian-live-9.9.0-amd64-gnome.log: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-gnome.packages: File o directory non esistente
debian-live-9.9.0-amd64-gnome.packages: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-kde.contents: File o directory non esistente
debian-live-9.9.0-amd64-kde.contents: FAILED open or read
debian-live-9.9.0-amd64-kde.iso: OK
sha512sum: debian-live-9.9.0-amd64-kde.log: File o directory non esistente
debian-live-9.9.0-amd64-kde.log: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-kde.packages: File o directory non esistente
debian-live-9.9.0-amd64-kde.packages: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-lxde.contents: File o directory non esistente
debian-live-9.9.0-amd64-lxde.contents: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-lxde.iso: File o directory non esistente
debian-live-9.9.0-amd64-lxde.iso: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-lxde.log: File o directory non esistente
debian-live-9.9.0-amd64-lxde.log: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-lxde.packages: File o directory non esistente
debian-live-9.9.0-amd64-lxde.packages: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-mate.contents: File o directory non esistente
debian-live-9.9.0-amd64-mate.contents: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-mate.iso: File o directory non esistente
debian-live-9.9.0-amd64-mate.iso: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-mate.log: File o directory non esistente
debian-live-9.9.0-amd64-mate.log: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-mate.packages: File o directory non esistente
debian-live-9.9.0-amd64-mate.packages: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-xfce.contents: File o directory non esistente
debian-live-9.9.0-amd64-xfce.contents: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-xfce.iso: File o directory non esistente
debian-live-9.9.0-amd64-xfce.iso: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-xfce.log: File o directory non esistente
debian-live-9.9.0-amd64-xfce.log: FAILED open or read
sha512sum: debian-live-9.9.0-amd64-xfce.packages: File o directory non esistente
debian-live-9.9.0-amd64-xfce.packages: FAILED open or read
sha512sum: ATTENZIONE: 1 riga non formattata correttamente
sha512sum: ATTENZIONE: 23 file elencati non possono essere letti

vedo comunque che nella voce "debian-live-9.9.0-amd64-kde.iso" dà OK e cerco di farmelo bastare perché dopotutto nella cartella c'è un'iso kde e non cinnamon etc... (sbaglio?). Ma perché le altre voci kde (.contents, .log e .packages) danno errore?

3) A questo punto procedo alla verifica della firma installando "gnupg debian-keyring" e "dirmngr" (quest'ultimo richiesto dal terminale ma non citato nella guida) e procedo dando
gpg --verify SHA512SUMS.sign SHA512SUMS
Mi vien data la chiave "DF9B9C49EAA9298432589D76DA87E80D6294BE9B" ma manca la chiave pubblica di chi ha caricato il file e dò
gpg --keyserver keyring.debian.org --recv-keys DF9B9C49EAA9298432589D76DA87E80D6294BE9B
che restituisce:

pub rsa4096 2011-01-05 [SC]
DF9B9C49EAA9298432589D76DA87E80D6294BE9B
uid [ unknown] Debian CD signing key
sig 8F638F961B3045CE 2011-01-07 [User ID not found]
sig 587979573442684E 2011-01-05 Steve McIntyre
sig 7F55BB12A40F862E 2011-01-05 Neil McGovern
sig C5CE5DC2C542CD59 2011-01-05 Adam D. Barratt
sig 4DE8FF2A63C7CC90 2011-01-05 Simon McVittie
sig 3 DA87E80D6294BE9B 2011-01-05 Debian CD signing key
sub rsa4096 2011-01-05 [E]
sig DA87E80D6294BE9B 2011-01-05 Debian CD signing key

Ora, nonostante il primo firmatario sia sconosciuto, vedo che gli altri nomi corrispondono a quelli riportati in guida e mi ritengo soddisfatto (sbaglio?)

4) Per finire testo l'autenticità del file SHA512SUMS dando
gpg --verify SHA512SUMS.sign SHA512SUMS
ma non sembra autentico :

gpg: Signature made sab 27 apr 2019 20:46:07 CEST
gpg: using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: BAD signature from "Debian CD signing key " [unknown]

A questo punto la guida addirittura tace sul caso che vi sia una "BAD signature" e mi sono rivolto a voi.
Sono io che ho sbagliato in qualche passaggio o l'iso è effettivamente corrotta?

Vi prego di perdonare la lunghezza del post ma volevo descrivervi dettagliatamente come ho provato a riempire quelle che per un novizio sono delle lacune nella guida.

Grazie.

Ritratto di homeless
homeless
(Guru)
Offline
Guru
Iscritto: 21/10/2011
Messaggi: 1359

8brusco8 ha scritto:

Il fatto è che la guida che seguo ( QUESTA ) non è affatto intuitiva per chi sia alle prime armi.


Puoi scrivere all'autore nella specifica sezione del forum (http://www.debianizzati.org) a cui è collegata la guida per fornire i suggerimenti del caso, oppure tu stesso chiedere in quel forum di essere abilitato all'editing della guida per poterla integrare. In alternativa, questo è quanto in merito indica il Wiki ufficiale del progetto Debian: https://www.debian.org/CD/verify.it.html

8brusco8 ha scritto:

Dandomi errore il primo comando suggerito dalla guida per generare una cartella, ho provveduto graficamente a crearla inserendovi la iso e due file gedit in cui ho copia-incollato il contenuto testuale del sha512sums e sha512sums.sign (firefox non li tratta come file scaricabili... ho fatto bene a procedere così?)


Potresti specificare esattamente quale errore ? In ogni caso, in risposta alla domanda, presumo di sì.

8brusco8 ha scritto:

vedo comunque che nella voce "debian-live-9.9.0-amd64-kde.iso" dà OK e cerco di farmelo bastare perché dopotutto nella cartella c'è un'iso kde e non cinnamon etc... (sbaglio?). Ma perché le altre voci kde (.contents, .log e .packages) danno errore?


Perché non sono stati scaricati gli altri file.
Certo: l'errore riportato è : "File o directory non esistente" perché non scaricato.

8brusco8 ha scritto:

procedo alla verifica della firma installando "gnupg debian-keyring" e "dirmngr" (quest'ultimo richiesto dal terminale ma non citato nella guida) e procedo dando

[..][code]gpg --keyserver keyring.debian.org --recv-keys DF9B9C49EAA9298432589D76DA87E80D6294BE9B

che restituisce:
pub   rsa4096 2011-01-05 [SC]
      DF9B9C49EAA9298432589D76DA87E80D6294BE9B
uid           [ unknown] Debian CD signing key <debian-cd@lists.debian.org>
sig          8F638F961B3045CE 2011-01-07  [User ID not found]
sig          587979573442684E 2011-01-05  Steve McIntyre <steve@einval.com>
sig          7F55BB12A40F862E 2011-01-05  Neil McGovern <neil@halon.org.uk>
sig          C5CE5DC2C542CD59 2011-01-05  Adam D. Barratt <adam@adam-barratt.org.uk>
sig          4DE8FF2A63C7CC90 2011-01-05  Simon McVittie <smcv@pseudorandom.co.uk>
sig 3        DA87E80D6294BE9B 2011-01-05  Debian CD signing key <debian-cd@lists.debian.org>
sub   rsa4096 2011-01-05 [E]
sig          DA87E80D6294BE9B 2011-01-05  Debian CD signing key <debian-cd@lists.debian.org>

Ora, nonostante il primo firmatario sia sconosciuto, vedo che gli altri nomi corrispondono a quelli riportati in guida e mi ritengo soddisfatto (sbaglio?)


La chiave 8F638F961B3045CE [User ID not found] è relativa ad uno sviluppatore Debian che ha firmato con una chiave che non è nel keyring di Debian, ma che è comunque reperibile con il comando:
$ gpg --keyserver pool.sks-keyservers.net --recv-keys  8F638F961B3045CE

8brusco8 ha scritto:

Per finire testo l'autenticità del file SHA512SUMS dando
gpg --verify SHA512SUMS.sign SHA512SUMS
ma non sembra autentico :

gpg: Signature made sab 27 apr 2019 20:46:07 CEST
gpg: using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: BAD signature from "Debian CD signing key " [unknown]

A questo punto la guida addirittura tace sul caso che vi sia una "BAD signature" e mi sono rivolto a voi.
Sono io che ho sbagliato in qualche passaggio o l'iso è effettivamente corrotta?


L'errore BAD SIGNATURE indica che il file SHA512SUMS non è stato firmato con la chiave DF9B9C49EAA9298432589D76DA87E80D6294BE9B, la cui firma è riportata in SHA512SUMS.sign.

Ho provato sulla mia Debian Buster a replicare quanto hai indicato ed il risultato non corrisponde a quanto hai riferito nel precedente messaggio; ho impartito i seguenti comandi, con i relativi output:

$ wget https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA512SUMS
--2019-05-11 17:10:37--  https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA512SUMS
Risoluzione di cdimage.debian.org (cdimage.debian.org)... 194.71.11.173, 194.71.11.165, 2001:6b0:19::165, ...
Connessione a cdimage.debian.org (cdimage.debian.org)|194.71.11.173|:443... connesso.
Richiesta HTTP inviata, in attesa di risposta... 200 OK
Lunghezza: 489
Salvataggio in: "SHA512SUMS"
 
SHA512SUMS                      100%[====================================================>]     489  --.-KB/s    in 0s      
 
2019-05-11 17:10:37 (3,86 MB/s) - "SHA512SUMS" salvato [489/489]
 
$ wget https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA512SUMS.sign
--2019-05-11 17:10:41--  https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA512SUMS.sign
Risoluzione di cdimage.debian.org (cdimage.debian.org)... 194.71.11.173, 194.71.11.165, 2001:6b0:19::165, ...
Connessione a cdimage.debian.org (cdimage.debian.org)|194.71.11.173|:443... connesso.
Richiesta HTTP inviata, in attesa di risposta... 200 OK
Lunghezza: 833
Salvataggio in: "SHA512SUMS.sign"
 
SHA512SUMS.sign                 100%[====================================================>]     833  --.-KB/s    in 0s      
 
2019-05-11 17:10:41 (8,17 MB/s) - "SHA512SUMS.sign" salvato [833/833]
 
$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made sab 27 apr 2019 20:45:02 CEST
gpg:                using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>" [sconosciuto]
gpg: ATTENZIONE: questa chiave non è certificata con una firma fidata!
gpg:          Non ci sono indicazioni che la firma appartenga al proprietario.
Impronta digitale della chiave primaria: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

A differenza di quanto hai indicato, il comando gpg --verify indica che la firma è valida:
Good signature from "Debian CD signing key <debian-cd@lists.debian.org>" [sconosciuto]

Considera, infine, che la verifica della firma del file SHA512SUMS è relativa solo al contenuto di questo file. L'integrità dell'immagine ISO è determinata in via indiretta dal checksum SHA512 che è contenuto nel file SHA512SUMS. Se, quindi, il file SHA512SUMS ha una firma valida, anche il suo contenuto sarà valido e, quindi, il ckecksum contenuto per le diverse immagini ISO, da controllare con il comando shasum

Ritratto di homeless
homeless
(Guru)
Offline
Guru
Iscritto: 21/10/2011
Messaggi: 1359

Inoltre, il comando specifica che la chiave non è, al momento della verifica, riconosciuta come "fidata". Questo non è un difetto, ma corrisponde esattamente alle modalità di funzionamento di gpg che, di default, considera come non fidata una firma per la quale l'utente non ha esplicitamente indicato se è a suo giudizio attendibile secondo "il web of trust" degli utenti che hanno a loro volta ritenuto valida quella chiave, firmandola (vedi, ad esempio, https://yanhan.github.io/posts/2014-03-04-gpg-how-to-trust-imported-key.html). La sigla [sconosciuto] rappresenta, infatti, il livello di "trust" (fiducia) che attualmente risulta impostato per questa chiave, che è infatti sconosciuto.

Quanto sopra riportato, mi fa ipotizzare che, per qualche motivo, effettivamente nel tuo caso SHA512SUMS non corrisponde SHA512SUMS.sign (forse hai "mischiato" versioni dei file di diverse versioni di Debian ?)

Ritratto di 8brusco8
8brusco8
(Geek)
Offline
Geek
Iscritto: 30/05/2014
Messaggi: 69

Ciao homeless! Grazie mille delle risposte intanto Smile

Citazione:

Puoi scrivere all'autore nella specifica sezione del forum (http://www.debianizzati.org) a cui è collegata la guida per fornire i suggerimenti del caso, oppure tu stesso chiedere in quel forum di essere abilitato all'editing della guida per poterla integrare. In alternativa, questo è quanto in merito indica il Wiki ufficiale del progetto Debian: https://www.debian.org/CD/verify.it.html


Benissimo, mi attiverò almeno per proporre qualche suggerimento!

Citazione:

Potresti specificare esattamente quale errore ?


Allora spostandomi tramite terminale dove ci sono la iso e i due file di testo dò
ls ~/mycheckdir debian-live-9.9.0-amd64-kde.iso SHA512SUMS.sign SHA512SUMS
che restitusce:

ls: impossibile accedere a '/home/stefano/mycheckdir': File o directory non esistente
ls: impossibile accedere a 'debian-live-9.9.0-amd64-kde.iso': File o directory non esistente
SHA512SUMS SHA512SUMS.sign

Quindi sono andato per la via "grafica" e ho creato la cartella con dentro quei tre elementi.

Citazione:

Perché non sono stati scaricati gli altri file.
Certo: l'errore riportato è : "File o directory non esistente" perché non scaricato.


Capisco... mi ha disorientato il fatto che non ci fossero nella pagina ufficiale di download dei torrent mentre in QUESTA sì.

Citazione:

La chiave 8F638F961B3045CE [User ID not found] è relativa ad uno sviluppatore Debian che ha firmato con una chiave che non è nel keyring di Debian, ma che è comunque reperibile con il comando:

$ gpg --keyserver pool.sks-keyservers.net --recv-keys 8F638F961B3045CE


Ottimo, grazie mille!

Citazione:

Ho provato sulla mia Debian Buster a replicare quanto hai indicato ed il risultato non corrisponde a quanto hai riferito nel precedente messaggio; ho impartito i seguenti comandi, con i relativi output:

$ wget https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA512SUMS
--2019-05-11 17:10:37-- https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA512SUMS
Risoluzione di cdimage.debian.org (cdimage.debian.org)... 194.71.11.173, 194.71.11.165, 2001:6b0:19::165, ...
Connessione a cdimage.debian.org (cdimage.debian.org)|194.71.11.173|:443... connesso.
Richiesta HTTP inviata, in attesa di risposta... 200 OK
Lunghezza: 489
Salvataggio in: "SHA512SUMS"

SHA512SUMS 100%[====================================================>] 489 --.-KB/s in 0s

2019-05-11 17:10:37 (3,86 MB/s) - "SHA512SUMS" salvato [489/489]

$ wget https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA512SUMS.sign
--2019-05-11 17:10:41-- https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA512SUMS.sign
Risoluzione di cdimage.debian.org (cdimage.debian.org)... 194.71.11.173, 194.71.11.165, 2001:6b0:19::165, ...
Connessione a cdimage.debian.org (cdimage.debian.org)|194.71.11.173|:443... connesso.
Richiesta HTTP inviata, in attesa di risposta... 200 OK
Lunghezza: 833
Salvataggio in: "SHA512SUMS.sign"

SHA512SUMS.sign 100%[====================================================>] 833 --.-KB/s in 0s

2019-05-11 17:10:41 (8,17 MB/s) - "SHA512SUMS.sign" salvato [833/833]

$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made sab 27 apr 2019 20:45:02 CEST
gpg: using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Good signature from "Debian CD signing key " [sconosciuto]
gpg: ATTENZIONE: questa chiave non è certificata con una firma fidata!
gpg: Non ci sono indicazioni che la firma appartenga al proprietario.
Impronta digitale della chiave primaria: DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B

A differenza di quanto hai indicato, il comando gpg --verify indica che la firma è valida


Riprovando da zero a scaricare l'iso e i file SHA512SUMS e SHA512SUMS.sign come hai indicato tu funziona tutto e ora dà come risposta una "Good signature" Smile
Funziona tutto anche procedendo secondo le indicazioni della guida originaria! (dopo aver dato il comando che hai scritto per individuare l'identità del firmatario mancante la prima volta, ora vengono riconosciuti tutti gli autori della RSA key)
Effettivamente come hai ipotizzato, devo aver fatto qualche errore in fase di download... in questo secondo tentativo ho importato il mazzo di chiavi Debian con
gpg --import /usr/share/keyrings/debian-role-keys.gpg (seconda ipotesi nella guida)
invece di importarlo da rete come nella prima indicazione della guida, e forse il mio errore si era generato qui visto anche il difettoso riconoscimento degli autori della chiave poi risolto.

Grazie mille è dire poco homeless Applause
Ciao!

Ritratto di homeless
homeless
(Guru)
Offline
Guru
Iscritto: 21/10/2011
Messaggi: 1359

Felice di esserti stato d'aiuto. Smile