LinuxMint.com.ru

Решил попробовать Линукс Минт LM 18.2 x64. Скачал образ iso и в соответствии с инструкцией на сайте linuxmint.com стал его проверять. Возникла проблема с подписью ключа дистрибутива:

Код: Выделить всё

$ cd
$ cd iso
$ gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: Подпись создана Чт 29 июн 2017 19:13:16 MSK ключом RSA с ID A25BAE09
gpg: Действительная подпись от "Linux Mint ISO Signing Key <root@linuxmint.com>"
gpg: ВНИМАНИЕ: Данный ключ не заверен доверенной подписью!
gpg:          Нет указаний на то, что подпись принадлежит владельцу.
 Отпечаток главного ключа: 27DE B156 44C6 B3CF 3BD7  D291 300F 846B A25B AE09 не зменен
gpg: Всего обработано: 1
gpg:                   неизмененных: 1
$ gpg --list-key --with-fingerprint A25BAE09
pub   4096R/A25BAE09 2016-06-07
Отпечаток ключа = 27DE B156 44C6 B3CF 3BD7  D291 300F 846B A25B AE09
uid                  Linux Mint ISO Signing Key <root@linuxmint.com>

Подскажите, пожалуйста, кто знает, как это следует понимать. У Минт уже была проблема с внедрением бэкдора в дистрибутив в прошлом году. Не попахивает ли данная ситуация?
Буду признателен за комментарии.

А зачем подписывать? И зачем какие-то манипуляции в консоли? Грузитесь в лайв, жмете на раб столе "Установить" и дальше всё в графике делается.

Dja, речь о https://linuxmint.com/verify.php дабы удостоверится, что скачанный образ не скомпрометирован)

Chocobo, в таком случае ошибочка.
На сайте sha256sum --ignore-missing -c sha256sum.txt а не

gpg --verify sha256sum.txt.gpg sha256sum.txt

А если уж делать то, что ниже, то полностью включая ключи

Код: Выделить всё

gpg --keyserver keyserver.ubuntu.com --recv-key "27DE B156 44C6 B3CF 3BD7  D291 300F 846B A25B AE09"
gpg --keyserver keyserver.ubuntu.com --recv-key A25BAE09
gpg --list-key --with-fingerprint A25BAE09
cd
cd ISO
gpg --verify sha256sum.txt.gpg sha256sum.txt

А зачем подписывать? И зачем какие-то манипуляции в консоли? Грузитесь в лайв, жмете на раб столе "Установить" и дальше всё в графике делается.
Прежде чем грузиться хотелось бы знать, что грузим или с чего грузим.

Dja писал(а): Chocobo, в таком случае ошибочка.
На сайте sha256sum --ignore-missing -c sha256sum.txt а не

Это разные вещи!
"sha256sum --ignore-missing -c sha256sum.txt" относится к Integrity check, а "gpg --verify sha256sum.txt.gpg sha256sum.txt" - к Authenticity check.

Кто желает - может проверить по этой ссылке: https://linuxmint.com/verify.php

sha256sum --ignore-missing -c sha256sum.txt
linuxmint-18.1-cinnamon-64bit.iso: ЦЕЛ
В январе, после праздников скачивал - устанавливал.

LinuxMint.com.ru

Ключ дистрибутива "не заверен доверенной подписью"

Ключ дистрибутива "не заверен доверенной подписью"

Ключ дистрибутива "не заверен доверенной подписью"

Ключ дистрибутива "не заверен доверенной подписью"

Ключ дистрибутива "не заверен доверенной подписью"

Ключ дистрибутива "не заверен доверенной подписью"

Ключ дистрибутива "не заверен доверенной подписью"

Ключ дистрибутива "не заверен доверенной подписью"

Ключ дистрибутива "не заверен доверенной подписью"