Jak mogę bezpiecznie pobrać Ubuntu?

Próbuję bezpiecznie pobrać pulpit Ubuntu.

To jest link na stronie ubuntu.com: http://releases.ubuntu.com/14.04.2/ubuntu-14.04.2-desktop-i386.iso

A oto link do skrótu SHA256: http://releases.ubuntu.com/trusty/SHA256SUMS

Problem w tym, że oba te linki są http, a serwer ubuntu.com nie obsługuje https. Czy jest jakiś sposób, aby bezpiecznie pobrać .iso?

system-installation

— znak
źródło

Użyj BitTorrenta z wymaganym szyfrowaniem.

— s3lph

A po co ci to? Chcesz ukryć fakt pobierania lub co? Suma kontrolna wystarczy, aby mieć pewność, że nic się nie zmieniło.

— Pilot6

HTTPS lub inny bezpieczny sposób przesyłania chroniłby cię przed wszystkimi, którzy wiedzą, że pobrałeś Ubuntu i sumę kontrolną. Aby uniknąć manipulowania pobieraniem (konieczne byłoby zmanipulowanie obu), musisz chronić się przed atakami typu man-in-the-middle po stronie klienta.

— Karl Richter,

Skróty HTTPS MD5 są dostępne tutaj .

— Doug Smythies,

@ Pilot6 - Potrzebuję tego, aby upewnić się, że .iso jest oficjalnie wydanym przez ubuntu. Zwykłe żądania HTTP pozwalają „człowiekowi pośrodku” na łatwą zmianę pliku .iso w locie. Niestety ten sam problem dotyczy sumy kontrolnej - jeśli nie mogę jej uzyskać za pośrednictwem protokołu https, nie mogę ufać, że nie została zmieniona.

— Mark

Kluczowe odciski palców znajdują się na https://help.ubuntu.com/community/VerifyIsoHowto

Obecnie są

C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092

Możesz je odzyskać za pomocą:

gpg --recv-key 843938DF228D22F7B3742BC0D94AA3F0EFE21092 C5986B4F1257FFA86632CBA746181433FBB75451

Jeśli jesteś już w systemie Ubuntu, pakiet ubuntu-keyringma te klucze, za pomocą /usr/share/keyrings/ubuntu-archive-keyring.gpgktórych możesz importować gpg --import /usr/share/keyrings/ubuntu-archive-keyring.gpg.

— Sarnold
źródło

Najwyraźniej działa to również z Debiana 8. (I dziękuję!)

— traktuj swoje mody dobrze