Vérifier le téléchargement d’une ISO Debian

Pour télécharger la dernière version stable Debian, vous pouvez aller à cette adresse : http://cdimage.debian.org/debian-cd/current/multi-arch/iso-cd/

Vous trouverez une ISO à télécharger. Mais comment vérifier que l’ISO est conforme et que personne n’y a introduit de backdoor en cours de route ?

A coté de cette ISO vous trouverez :

On va d’abord s’assurer que le fichier SHA512SUMS est bien authentique :

$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature faite le ven 11 sep 2015 17:13:48 CEST avec la clef RSA d'identifiant 6294BE9B
gpg: Bonne signature de « Debian CD signing key <debian-cd@lists.debian.org> »
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

La clé utilisée pour signer le fichier doit faire partie de celles-ci : https://www.debian.org/CD/verify

Vérifiez ensuite que le hash du fichier ISO que vous avez téléchargé est correct:

$ sha512sum --check SHA512SUMS
debian-8.2.0-amd64-i386-netinst.iso: Réussi
4 Comments

Add a Comment

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.