スポンサーリンク

Linux Mint のISOファイルの整合性をWindowsで検証する方法

PC

今までLinuxはUbuntuを使ってきましたが、最近はLinux Mintが良いみたいなので試してみることに。

しかし、導入時点でいきなり躓いたのメモしておきます。

 

検証方法は?

「ダウンロードしたISOが改竄されているかもしれないので検証してくれ」と書いてあり、貼られていたリンク”How to verify ISO images”(https://linuxmint.com/verify.php)を要約すると

  1. 署名鍵をインポート
  2. ISOとチェックサムをダウンロード
  3. チェックサムを検証
  4. sha256sumでISOを検証

ということみたいです…。

 

GunPGP(Windows)インストール

  1. https://www.gnupg.org/download/
  2. GnuPG binary releases の Gpg4win をダウンロード
  3. インストールはNEXT連続

 

PGPの確認

コマンドプロンプトでコマンド実行してバージョンが出てこればOK。

C:\Users\hoge>gpg –version
gpg (GnuPG) 2.0.30 (Gpg4win 2.3.3)
libgcrypt 1.6.6
Copyright (C) 2015 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Home: C:/Users/hoge/AppData/Roaming/gnupg
サポートしているアルゴリズム:
公開鍵: RSA, RSA, RSA, ELG, DSA
暗号方式: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
CAMELLIA128, CAMELLIA192, CAMELLIA256
ハッシュ: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
圧縮: 無圧縮, ZIP, ZLIB, BZIP2

出てこないなら環境変数でパスを通す事。

 

ダウンロード

まずは ISO と sha256sum.txt と sha256sum.txt.pgp をダウンロードします。

ダウンロード先は”C:\Users\hoge”(コマンドプロンプトのホーム)にしましたが、勿論他の場所でもOK。

ISOはMATEの最新版(Ver.18)にしました。

 

 

署名鍵のインポート

署名鍵を取り込まないといけないようですので、書いてあったとおりに実行すると

C:\Users\hoge>gpg –keyserver keyserver.ubuntu.com –recv-key “27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09”
gpg: “27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09″鍵IDではありません: スキップします

なんでやねん(´・ω・`)

 

このコマンドについて調べてみると、–recv-keyオプションではキーIDを指定している例が出てきます。

“How to verify ISO images”(https://linuxmint.com/verify.php)のページの「Signing key for Linux Mint 18」には

Key ID 4096R/A25BAE09 2016-06-07

とあり、この”/”の後ろの8桁の文字列がキーIDっぽいですので、気を取り直して

C:\Users\hoge>gpg –keyserver keyserver.ubuntu.com –recv-key A25BAE09
gpg: 鍵A25BAE09をhkpからサーバkeyserver.ubuntu.comに要求
gpg: 鍵A25BAE09: 公開鍵”Linux Mint ISO Signing Key <root@linuxmint.com>”をインポートしました
gpg: 究極的に信用する鍵が見つかりません
gpg: 処理数の合計: 1
gpg: インポート: 1 (RSA: 1)

今度は上手くいったようです。(究極的に信用する鍵って何)

 

チェックサムの検証

書いてある通りに実行。

C:\Users\hoge>gpg –verify sha256sum.txt.gpg sha256sum.txt
gpg: 09/07/16 21:56:33 東京 (標準時)にRSA鍵ID A25BAE09で施された署名
gpg: “Linux Mint ISO Signing Key <root@linuxmint.com>”からの正しい署名 [不明の]
gpg: *警告*: この鍵は信用できる署名で証明されていません!
gpg: この署名が所有者のものかどうかの検証手段がありません。
主鍵フィンガー・プリント: 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09

警告出てるけど良いのか??

フィンガープリントは一致していますね。

 

sha256sumのインストール

ISOの検証を実行しようとしたら

C:\Users\hoge>sha256sum -b linuxmint-18-mate-64bit.iso
‘sha256sum’ は、内部コマンドまたは外部コマンド、
操作可能なプログラムまたはバッチ ファイルとして認識されていません。

と出てきたので下記からダウンロードして同じ場所にexeを置きます。

Download sha256sum.exe for Windows | Linux Windows Install Setup Configuration Project
Download sha256sum.exe for Windows. Start download sha256sum.exe for Windows or Download sha256sum.zip the sh256sum.exe in zip format and read step by step usin...

 

ISOの検証

気を取り直して、もう一度。

C:\Users\hoge>sha256sum -b linuxmint-18-mate-64bit.iso
c634f48b248489eef782067484a04978f046e9ccd507d9df35c798a1db9bef22 *linuxmint-18-mate-64bit.iso

公式マニュアル見ると”Good”とか表示してくれるものかと予想していたのに、そういったものは何も…。

この長い文字列を”sha256sum.txt”の中で検索すると一致しました。

これで問題ないのでしょうか。

 


 

日本語フォーラムも見ましたが、同じような質問はありませんでした。

分かりづらいので何とかしてほしいですね。(日本語版用意するとか)