Ubuntu 16.04.5 sha256 подписывает вопросы о несоответствии

Мне кажется, что текущий файл Ubuntu 16.04.5 .iso и его хэш gpg не совпадают с releases.ubuntu.com:

  1. I DL'd /16.04.5/ubuntu-16.04.5-desktop-amd64.iso ( http://releases.ubuntu.com/xenial и http://tw.releases.ubuntu.com/16.04)

  2. Желая проверить целостность файла, я погуглил его и нашел https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu который приглашает меня на DL sha256sums и sha256sums.gpg

  3. Я проверяю, что файл подписи sha256 приходит из Ubuntu

    gpg --verify SHA256SUMS.gpg SHA256SUMS

(сначала получите правильные ключи от Ubuntu Keysever через gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092)

  1. ручной sha256.iso shasum -a 256 ubuntu-16.04.5-desktop-amd64.iso

    генерирует

     c66919536dc9dfa46353a195db25b37328bb5c66eaa382ff79b285c2c39d22fb ubuntu-16.04.5-desktop-amd64.iso

    Между тем http://releases.ubuntu.com/16.04.5/SHA256SUMS списки

     6b505fd3b6f816f8ff058710f127a9900e9233e496783ce08a0022814d224810

    как ожидаемая контрольная сумма

    => Похоже, что 16.04.5.iso, которые работали более месяца (последнее изменение 2018-07-31), на самом деле не являются теми, которые сертифицирует файл gpg из Ubuntu.

Я испортил шаг в проверке целостности файла? С кем мне связаться в случае несоответствия контрольной суммы? (было бы хорошо добавить это в учебник!)

Спасибо за совет / руководство, https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu кажется, есть некоторые незначительные проблемы - я чувствую, что мне пришлось пройти через много обручей, чтобы проверить целостность изо (сначала нужно было установить варку через /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" затем попытка установить coreutils для получения sha256sums безуспешно, несмотря на то, что в руководствах утверждается, что она включит команду в OSX... и затем пришлось вручную искать способ вычисления хэша sha256, используя shasum -a 256 <myfile>

Я знаю, что в конце концов оно того стоит, но кажется, что нужно пройти через несколько обручей, чтобы проверить подлинность файла, есть ли более простой способ аутентификации.iso-файлов?

// примечание: я пробовал серверную и настольную версии - не пробовал битторрентные файлы.

РЕДАКТИРОВАТЬ: я открыл новый вопрос вместо того, чтобы переделать этот вопрос, чтобы добавить все зеркала и выпуски, используемые в My Ubuntu SHA256SUM не совпадает, независимо от выпуска или зеркала... что я делаю неправильно?

Источник

1 ответ

Решение

Где вы загрузили свой Ubuntu 16.04.5 ISO?

Чтобы проверить ваше предположение,

  1. Я загрузил ISO, взяв 1 час 31 минуту 1 с из моего [официального] зеркала
  2. Я скачал файл SHA256SUM (для diff с основного сайта)

Результат был

6b505fd3b6f816f8ff058710f127a9900e9233e496783ce08a0022814d224810  ubuntu-16.04.5-desktop-amd64.iso

именно то, что должно было быть согласно официальному сайту.

Откуда ты это скачал? или, возможно, произошел сбой из-за плохого соединения (оно не совпадает, потому что ваша загрузка неверна)

С кем вы связываетесь - если вы считаете, что в документации есть проблема, сообщите об ошибке на панель запуска [ ubuntu-docs как пакет].

Что касается плохой загрузки - я думаю, что контрольная сумма правильная, ваша загрузка была повреждена (по моему мнению), или вы загрузили ISO с поврежденного или недействительного сайта. По крайней мере, мой экземпляр идеально подходит.

примечание: под официальным зеркалом я имею в виду, что оно найдено на https://launchpad.net/ubuntu/+cdmirrors

Вы перечислили команду, используемую для захвата ключей gpg, как gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xZZZZZ 0xZZZZZ это было не то, что я использовал, ни то, что я видел в документации. Вы заменили реальный ключ, который вы использовали, на Z? или чувствуете, что информация была частной, поэтому скрыла это?

Источник
Другие вопросы по тегам