데비안을 안전하게 다운로드하세요

페이지 위치는 다음과 같습니다.https://tails.boum.org/download/index.en.html#index3h1다운로드한 이미지에 예상한 체크섬이 있는지 확인하는 프로세스, 웹사이트에서 읽은 체크섬이 배포자가 서명했는지 확인하는 프로세스, 다운로드한 키가 실제로 악성 키가 아니라는 합리적인 증거를 확보하는 프로세스를 설명하세요. . 110% 확신하려면 데비안 개발자와 친구가 되어야 하고 그에게 데비안(또는 운영 체제 직접)용 GPG 키를 직접(인터넷이 아닌 물리적 매체를 통해) 제공하도록 해야 합니다.

데비안을 안전하게 다운로드하고 110% 변경되지 않은 복사본을 받는 방법은 무엇입니까?

데비안 설치 미디어를 다운로드하세요. 첨부 SHA256SUMS파일 을 다운로드 받으세요 SHA256SUMS.sign. 다음에서 키 가져오기데비안 키체인또는 PGP 키 서버를 사용하여 지문을 확인하세요.HTTPS를 통해 데비안 웹사이트에 접근하세요.

$ gpg --recv-key --keyserver subkeys.pgp.net 6CA7B5A6
# Verify the fingerprints on https://www.debian.org/CD/verify
$ gpg --verify SHA256SUMS.sign SHA256SUMS
# The previous command must print “Good signature from …”
$ sha256sum debian-7.6.0-i386-CD-1.iso
# Compare the value with SHA256SUMS

데비안을 다운로드하는 데 사용하는 운영 체제와 컴퓨터가 중요합니까? 사용 중인 운영 체제가 다운로드를 손상시키나요? 아니면 다운로드가 컴퓨터에 도달한 후 운영 체제 자체가 백도어에 감염되었거나 손상되었나요?

설치 미디어는 어디서나 다운로드할 수 있습니다. 그러나 SHA-256 체크섬을 계산하고, 파일 서명을 확인하고, 체크섬을 내용과 비교하는 단계에서는 신뢰할 수 있는 도구를 갖춘 신뢰할 수 있는 시스템이 필요합니다. 손상된 시스템은 모든 것을 알려줄 수 있지만 그게 전부는 아닙니다. 사실 SHA256SUMS은 SHA256SUMS. '티.

관료적인 절차이기 때문에 보증은 110%가 아닙니다. 이 보장은 인터넷을 통해 무작위로 낯선 사람으로부터 조언을 받는 것보다 낫습니다.

사용 가능한 옵션(예: 미러, 토렌트 등) 중에서 데비안을 다운로드하는 가장 좋은 방법은 무엇입니까?

이는 보안에 중요하지 않습니다.

GPG는 소프트웨어가 안전하고 정품임을 110% 보장하는 완벽한 방법입니까?

GPG는 오류가 없는 것이 아닙니다. 바보는 출력을 잘못 해석하거나 잘못 사용할 수 있습니다. 110%란 없습니다. 하지만 최선을 다했습니다.

Tor를 통해 다운로드하면 좋든 나쁘든 어떤 차이가 있습니까? 그리고 그 이유는 무엇입니까?

Tor를 통해 다운로드하면 체인의 누군가가 다운로드한 자료를 수정할 가능성이 높아집니다. 그러나 위에서 언급한 것처럼 수정 사항이 감지되므로 이는 중요하지 않습니다. 토르가 더 느립니다. Tor의 유일한 이점은 파일을 다운로드하는 서버에서 IP 주소를 숨기고 ISP에서 데비안을 다운로드했다는 사실을 숨긴다는 것입니다(원하는 경우).

데비안은 모든 이미지 파일에 대해 MD5 체크섬을 제공하며, 이를 다운로드한 파일과 비교하여 동일한 파일인지 확인할 수 있습니다.