Como posso baixar o Ubuntu com segurança?

9

Estou tentando baixar o desktop do ubuntu com segurança.

Este é o link no site ubuntu.com: http://releases.ubuntu.com/14.04.2/ubuntu-14.04.2-desktop-i386.iso

E aqui está o link de hash SHA256: http://releases.ubuntu.com/trusty/SHA256SUMS

O problema é que esses dois links são http e o servidor ubuntu.com parece não suportar https. Existe alguma maneira de baixar o .iso com segurança?

system-installation Marca
fonte
3
Use o BitTorrent com a criptografia necessária.
S3lph
2
Por que você precisa disso? Deseja ocultar o fato de baixar ou o quê? A soma de verificação é suficiente para garantir que nada mudou.
Pilot6
1
HTTPS ou outra forma segura de transferência protegeria você de quem sabe que você baixou o Ubuntu e a soma de verificação. Para evitar downloads manipulados (seria necessário manipular os dois), você precisa se proteger contra ataques do tipo intermediário no lado do cliente.
Karl Richter
Os hashes HTTPS MD5 estão disponíveis aqui .
Doug Smythies
2
@ Pilot6 - Eu preciso disso para garantir que o .iso seja o lançado oficialmente pelo ubuntu. Solicitações simples de http permitem que um 'homem do meio' altere o arquivo .iso rapidamente. Infelizmente, o mesmo problema se aplica à soma de verificação - se eu não puder obtê-lo por https, não posso confiar que não foi adulterado.
Mark

Respostas:

2

As principais impressões digitais estão em https://help.ubuntu.com/community/VerifyIsoHowto

Atualmente eles são

C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092

Você pode recuperar os dois com:

gpg --recv-key 843938DF228D22F7B3742BC0D94AA3F0EFE21092 C5986B4F1257FFA86632CBA746181433FBB75451

Se você já está em um sistema Ubuntu, o pacote ubuntu-keyringpossui essas chaves nas /usr/share/keyrings/ubuntu-archive-keyring.gpgquais você pode importar gpg --import /usr/share/keyrings/ubuntu-archive-keyring.gpg.

sarnold
fonte
Isso também funciona no Debian 8, aparentemente. (E obrigado!)
trate seus mods bem