Linux中國

如何使用 SHA256 校驗下載的文件

對於 Ubuntu 發行版的情況, Canonical 提供了幾個供驗證使用的驗校文件(如 MD5SUM, SHA1SUMS 和 SHA256SUMS)。在這個例子中我們使用 SHA256SUMS。

首先,下載下面兩個文件。

$ wget http://releases.ubuntu.com/14.10/SHA256SUMS
$ wget http://releases.ubuntu.com/14.10/SHA256SUMS.gpg

第一個文件是 ISO 鏡像的 SHA256 驗校文件,而第二個文件(*.gpg)是驗校文件的簽名。第二個文件的目的是驗證驗校文件本身的有效性。

我們通過運行下面的命令來驗證 SHA256SUMS 文件的有效性。

$ gpg --verify SHA256SUMS.gpg SHA256SUMS 
gpg: Signature made Thu 23 Oct 2014 09:36:00 AM EDT using DSA key ID FBB75451
gpg: Can't check signature: public key not found

如果你得到上面的錯誤信息,是因為你還沒有導入生成這個簽名的公共密鑰。因此我們現在導入需要的公共密鑰。

這樣做之前,你需要知道公共密鑰的 「key ID」,而這在上面的 gpg 命令的輸出中有顯示。在這個例子中,密鑰 ID 時 「FBB75451」。運行下面的命令來從官方 Ubuntu 密鑰伺服器導入公共密鑰。

$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys FBB75451 

既然公共密鑰已經被導入,我們可以繼續並重新運行之前的命令來驗證簽名。

gpg --verify SHA256SUMS.gpg SHA256SUMS 

這次你沒有看到 「public key not found」 的錯誤信息。如果 SHA256SUMS 文件時有效的,你會看到 「Good signature from 」 的信息。注意到你還看到一個 「This key is not certified with a trusted signature」 的警告信息。基本上這個警告信息是告訴你對導入的公共密鑰沒有明確信任。要避免這個警告,你可以選擇指定完全信任導入的公共密鑰,但你應該只有在通過其他方式審查了這個密鑰之後才這樣做。否則的話,你可以暫時忽略這個警告。

在驗證了 SHA256SUMS 文件的完整性後,最後一個步驟是比較已下載 ISO 文件的 SHA256 驗校和和 SHA256SUMS 文件中對應的驗校值。你可以使用 sha256sum 命令行工具來完成這個步驟。

為方便起見,下面一行命令比較 SHA256 驗校和並報告結果。

 $ sha256sum -c <(grep ubuntu-14.10-desktop-amd64.iso SHA256SUMS) 
ubuntu-14.10-desktop-amd64.iso: OK

如果你看到了上面的輸出信息,這表明兩個驗校值相匹配。這樣已下載 ISO 鏡像的完整性就被成功的驗證了。

via: http://xmodulo.com/download-iso-image-bittorrent-command-line.html

作者:Dan Nanni 譯者:wangjiezhe 校對:wxy

本文由 LCTT 原創翻譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國