Linux Mint のISOファイルの整合性をWindowsで検証する方法

今までLinuxはUbuntuを使ってきましたが、最近はLinux Mintが良いみたいなので試してみることに。

しかし、導入時点でいきなり躓いたのメモしておきます。

検証方法は?

「ダウンロードしたISOが改竄されているかもしれないので検証してくれ」と書いてあり、貼られていたリンク”How to verify ISO images”(https://linuxmint.com/verify.php)を要約すると

  1. 署名鍵をインポート
  2. ISOとチェックサムをダウンロード
  3. チェックサムを検証
  4. sha256sumでISOを検証

ということみたいです…。

GunPGP(Windows)インストール

  1. https://www.gnupg.org/download/
  2. GnuPG binary releases の Gpg4win をダウンロード
  3. インストールはNEXT連続

PGPの確認

コマンドプロンプトでコマンド実行してバージョンが出てこればOK。

C:\Users\hoge>gpg –version
gpg (GnuPG) 2.0.30 (Gpg4win 2.3.3)
libgcrypt 1.6.6
Copyright (C) 2015 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Home: C:/Users/hoge/AppData/Roaming/gnupg
サポートしているアルゴリズム:
公開鍵: RSA, RSA, RSA, ELG, DSA
暗号方式: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
CAMELLIA128, CAMELLIA192, CAMELLIA256
ハッシュ: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
圧縮: 無圧縮, ZIP, ZLIB, BZIP2

出てこないなら環境変数でパスを通す事。

ダウンロード

まずは ISO と sha256sum.txt と sha256sum.txt.pgp をダウンロードします。

ダウンロード先は”C:\Users\hoge”(コマンドプロンプトのホーム)にしましたが、勿論他の場所でもOK。

ISOはMATEの最新版(Ver.18)にしました。

署名鍵のインポート

署名鍵を取り込まないといけないようですので、書いてあったとおりに実行すると

C:\Users\hoge>gpg –keyserver keyserver.ubuntu.com –recv-key “27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09”
gpg: “27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09″鍵IDではありません: スキップします

なんでやねん(´・ω・`)

このコマンドについて調べてみると、–recv-keyオプションではキーIDを指定している例が出てきます。

“How to verify ISO images”(https://linuxmint.com/verify.php)のページの「Signing key for Linux Mint 18」には

Key ID 4096R/A25BAE09 2016-06-07

とあり、この”/”の後ろの8桁の文字列がキーIDっぽいですので、気を取り直して

C:\Users\hoge>gpg –keyserver keyserver.ubuntu.com –recv-key A25BAE09
gpg: 鍵A25BAE09をhkpからサーバkeyserver.ubuntu.comに要求
gpg: 鍵A25BAE09: 公開鍵”Linux Mint ISO Signing Key <root@linuxmint.com>”をインポートしました
gpg: 究極的に信用する鍵が見つかりません
gpg: 処理数の合計: 1
gpg: インポート: 1 (RSA: 1)

今度は上手くいったようです。(究極的に信用する鍵って何)

チェックサムの検証

書いてある通りに実行。

C:\Users\hoge>gpg –verify sha256sum.txt.gpg sha256sum.txt
gpg: 09/07/16 21:56:33 東京 (標準時)にRSA鍵ID A25BAE09で施された署名
gpg: “Linux Mint ISO Signing Key <root@linuxmint.com>”からの正しい署名 [不明の]
gpg: *警告*: この鍵は信用できる署名で証明されていません!
gpg: この署名が所有者のものかどうかの検証手段がありません。
主鍵フィンガー・プリント: 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09

警告出てるけど良いのか??

フィンガープリントは一致していますね。

sha256sumのインストール

ISOの検証を実行しようとしたら

C:\Users\hoge>sha256sum -b linuxmint-18-mate-64bit.iso
‘sha256sum’ は、内部コマンドまたは外部コマンド、
操作可能なプログラムまたはバッチ ファイルとして認識されていません。

と出てきたので下記からダウンロードして同じ場所にexeを置きます。

http://www.labtestproject.com/files/win/sha256sum/sha256sum.exe

ISOの検証

気を取り直して、もう一度。

C:\Users\hoge>sha256sum -b linuxmint-18-mate-64bit.iso
c634f48b248489eef782067484a04978f046e9ccd507d9df35c798a1db9bef22 *linuxmint-18-mate-64bit.iso

公式マニュアル見ると”Good”とか表示してくれるものかと予想していたのに、そういったものは何も…。

この長い文字列を”sha256sum.txt”の中で検索すると一致しました。

これで問題ないのでしょうか。


日本語フォーラムも見ましたが、同じような質問はありませんでした。

分かりづらいので何とかしてほしいですね。(日本語版用意するとか)

スポンサーリンク
スポンサーリンク



シェアする

  • このエントリーをはてなブックマークに追加

フォローする