Як я можу безпечно завантажити Ubuntu?

Я намагаюся надійно завантажити робочий стіл ubuntu.

Це посилання на веб-сайті ubuntu.com: http://releases.ubuntu.com/14.04.2/ubuntu-14.04.2-desktop-i386.iso

А ось хеш-посилання SHA256: http://releases.ubuntu.com/trusty/SHA256SUMS

Проблема в тому, що обидва ці посилання є http, і сервер ubuntu.com, схоже, не підтримує https. Чи можу я надійно завантажити .iso надійно?

system-installation

— Позначити
джерело

Використовуйте BitTorrent з необхідним шифруванням.

— s3lph

Навіщо вам це потрібно? Ви хочете приховати факт завантаження чи що? Контрольної суми достатньо, щоб бути впевненим, що нічого не змінилося.

— Пілот6

HTTPS або інший безпечний спосіб передачі захистить вас від усіх, хто знає, що ви завантажили Ubuntu та контрольну суму. Щоб уникнути маніпульованих завантажень (потрібно було б маніпулювати обома), ви повинні захистити себе від атаки "посередник" на стороні клієнта.

— Карл Ріхтер

Хеші HTTPS MD5 доступні тут .

— Doug Smythies

@ Pilot6 - мені це потрібно для того, щоб .iso був офіційно випущений ubuntu. Прості http-запити дозволяють «людині посередині» легко змінювати .iso файл на льоту. На жаль, та ж проблема стосується контрольної суми - якщо я не можу отримати її через https, я не можу довіряти, що вона не була підроблена.

— Марк

Основні відбитки пальців розміщені на https://help.ubuntu.com/community/VerifyIsoHowto

В даний час вони є

C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092

Ви можете отримати їх обидва за допомогою:

gpg --recv-key 843938DF228D22F7B3742BC0D94AA3F0EFE21092 C5986B4F1257FFA86632CBA746181433FBB75451

Якщо ви вже користуєтесь системою Ubuntu, пакет ubuntu-keyringмістить ці ключі, в /usr/share/keyrings/ubuntu-archive-keyring.gpgякі ви можете імпортувати gpg --import /usr/share/keyrings/ubuntu-archive-keyring.gpg.

— сарнольд
джерело

Мабуть, це працює і з Debian 8. (І дякую!)

— добре