Pour télécharger la dernière version stable Debian, vous pouvez aller à cette adresse : http://cdimage.debian.org/debian-cd/current/multi-arch/iso-cd/
Vous trouverez une ISO à télécharger. Mais comment vérifier que l’ISO est conforme et que personne n’y a introduit de backdoor en cours de route ?
A coté de cette ISO vous trouverez :
- un hash de l’ISO : SHA512SUMS
- la signature GPG du hash : SHA512SUMS.sign
On va d’abord s’assurer que le fichier SHA512SUMS est bien authentique :
$ gpg --verify SHA512SUMS.sign SHA512SUMS gpg: Signature faite le ven 11 sep 2015 17:13:48 CEST avec la clef RSA d'identifiant 6294BE9B gpg: Bonne signature de « Debian CD signing key <debian-cd@lists.debian.org> » gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance. gpg: Rien n'indique que la signature appartient à son propriétaire. Empreinte de clef principale : DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B
La clé utilisée pour signer le fichier doit faire partie de celles-ci : https://www.debian.org/CD/verify
Vérifiez ensuite que le hash du fichier ISO que vous avez téléchargé est correct:
$ sha512sum --check SHA512SUMS debian-8.2.0-amd64-i386-netinst.iso: Réussi
Intéressant, merci !
Par contre je passe habituellement par https://www.debian.org/CD/netinst/ et choisis directement la bonne architecture, et là je ne vois pas les clés indiquées ?
@antistress : Il n’y a en effet aucun lien pointant directement vers cette information. Cependant il est possible d’y accéder en modifiant l’URL à la main.
Exemple :
– Je choisis l’architecture i386, j’obtiens donc le lien suivant ; http://cdimage.debian.org/debian-cd/8.2.0/i386/iso-cd/debian-8.2.0-i386-netinst.iso
– Retirer « debian-8.2.0-i386-netinst.iso »
– En bas de page, il y a la signature GPG du fichier contenant le hash ainsi que le hash du fichier de l’ISO.
En effet, merci Lypik :)
Très bien expliqué.
J’ai cherché pendant une heure sur internet et tu m’as sauvé.
Merci
Ah, c’est dur de trouver une page simple et claire sur ces fameuses vérifications, merci!