Ověření neporušenost, pravost...

[snl]

https://linuxmint-installation-guide.re ... erify.html

What???

Čeksum jestli nevznikla chyba při přenosu, uložení toho isa... jasný

S tím gpg jsem to nějak nepobral - to jako se tím ověřuje jestli ten čeksum není od jinud?

A čím se ověří ten gpg soubor jestli není od jinud?

Btw. když to ISO stáhnu z nějakého českého zrcadla co nabízí na těch anglickejch stránkách Mintu (tady to nabízí starší vezri 21.1 ?), tak počítám že by se tomu dalo věřit, takže bych asi ověřoval jenom na tu "neporušenost" pomocí toho čeksumu sha256sum.txt (v programu GtkHash, jak jsem zvyklý).

To gpg je asi pro případ, že bych to stahoval od někud z tramtárie.

Ale nechápu teda proč se ověřuje ten čeksum soubor sha256sum.txt, když ten je na stránkách LinuxMintu a když by to ISO bylo nějak podvržený, tak by to buď nesedělo s tím čeksumem, nebo by to nějak udělali, že by to sedělo a pak by ověření toho čeksumu bylo platný jak mrtvýmu slamník.

Asi jsem debil

[snl]

Mi to tedy napsalo toto, tak nevím:

Kód: Vybrat vše

$ gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: Signature made Thu 13 Jul 2023 06:06:28 PM CEST
gpg:                using RSA key 27DEB15644C6B3CF3BD7D291300F846BA25BAE09
gpg: Good signature from "Linux Mint ISO Signing Key <root@linuxmint.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 27DE B156 44C6 B3CF 3BD7  D291 300F 846B A25B AE09

[snl]

viz. tenhle dotaz:
https://www.reddit.com/r/linuxmint/comm ... cess_make/

Jestli tomu rozumím - tak nevěříme těm číslům (resp. tomu webu) - zde:
https://ftp.heanet.ie/mirrors/linuxmint ... 256sum.txt

Kód: Vybrat vše

116578dda0e03f1421c214acdd66043b586e7afc7474e0796c150ac164a90a2a *linuxmint-21.2-cinnamon-64bit.iso
46b1e171d678d0eba7916ed2b4eecac8993c5e94d3d5a1231ca7d480314f1553 *linuxmint-21.2-mate-64bit.iso
e532dca4f28a88e52587a0e1af14236b233d2cec629d9f93e7c92383b4490a55 *linuxmint-21.2-xfce-64bit.iso

Takže to ověřujeme ještě nějak pomocí toho gpg nějak přes nějaké magické příkazy v terminálu, které se asi ještě někam připojují nebo kdo ví co to dělá.

Btw. by mě zajímalo, kolik asi lidí dělá tady tu autentizaci toho sha256sum.txt čeksumu (týká se počítám i jiných dister než jenom Mintu) a jaká je asi šance že by to mohlo být nějak zfalšovaný nějakou třetí stranou (no asi by z toho byl velký poprask nejenom v rámci linuxových webů, kdyby se zjistilo, že ten sha256sum.txt čeksum na těch oficiálních stránkách byl zfalšovaný, takže zatím zůstávám v klidu )

[Ventero1]

Tak zrovna u LM to chapu - onehda byl skandal s podstrcenymi zavirovanymi iso vcetne autentizace primo na ofiko strankach pro stazeni. Otazka, zda to neni uz prilis velka opicarna.

[snl]

Jako že tam dali i vlastní sha256sum. Nevím jak teda funguje ten gpg, že ten už by neměl jít zfalšovat, ale přinde mně to trochu tak nějak "marketingově neinteligentní", protože většina lidí asi ani nepochopí, co se po nich chce (btw. já jsem taky nějak nepochopil, jak to vlastně funguje to gpg - jak funguje ten sum chápu aspoň tak nějak principiálně, takže chápu co s tím a proč)