如何以密码方式验证sabayon.iso？有证书吗？

Question

我已经下载并安装了sabayon，但是我所能找到的来验证iso映像是一个只能从相同的不安全镜像下载的md5sum。

• md5校验和不是加密安全的--至少应该是sha256。
• 从只使用不安全协议(http、ftp、rsync)下载该校验和的镜像，因此不能信任。
• 我在Google上找不到任何关于安全问题的信息(至少在我运行sabayon的时候)。这个发行版是为了取悦黑客并得到美国国家安全局的支持吗？(还是我有妄想症？)
• 通过gentoo覆盖安装sabayon是否安全？(或者是否存在类似但安全的基于gentoo的发行版？)

Answer 1

md5sum用于验证完全和正确地下载了ISO，而不是用于验证上传程序的来源。

然而，通常还有另一个文件-asc-或pgp-文件-它包含一个分离的pgp-签名，并可用于验证文件的来源。分离的签名通常是针对MD5文件(而不是ISO-文件本身)；但是如果MD5-文件是真实的，并且它告诉您ISO-文件的校验和是正确的，那么您就有一个完整的链来确保ISO-文件也是真实的。

如果下载站点对所有人来说都是不安全的，这并不重要。如果任何一个或所有的文件被篡改，这将被pgp检测到。只要作者的秘密--密钥没有被泄露--或者你没有被误导，用虚假的公钥来验证下载(一个只有作者假装的密钥)，那么你就会发现任何篡改。要么是因为ISO-文件的校验和不匹配，要么是因为md5-文件无法被验证，或者是因为gpg无法正确处理带有作者公钥的分离签名。

例如，您已经下载了image.iso。您可以通过找到它是md5sum并将它与image.iso.md5文件的内容进行比较来验证它是否被正确下载。然后，您使用上传器/程序员的image.iso.md5.asc和公共pgp密钥，并使用gpg确认image.iso.md5是真实的和未篡改的。假设是，那么您的ISO文件也是-假设MD5-校验和匹配。