Ubuntu Server herunterladen und verifizieren

• Ubuntu Server 16.04.2 LTS und Checksummen herunterladen

Download Ubuntu
Download Checksummen Datei und GPG Datei
(im gleichen Verzeichnis speichern)

• GPG Tools Version überprüfen

gpg --version

bzw.

gpg2 --version

ggf. GnuPG installieren (Windows Frontend: GPG4Win)

• Public Keys vom Ubuntu Server holen und zum Schlüsselbund hinzufügen

für Linux:

gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451"

für Windows:

gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 843938DF228D22F7B3742BC0D94AA3F0EFE21092 C5986B4F1257FFA86632CBA746181433FBB75451

Leerzeichen in Linux sind optional. Die Windows Kommandozeile kommt mit Leerzeichen nicht klar.

• Schlüssel Fingerabdrücke verifizieren

gpg --list-keys --with-fingerprint 0xFBB75451 0xEFE21092

• Schlüssel signieren / Besitzervertauen einstellen

gpg --list-keys
gpg --sign-key EFE21902
gpg --sign-key FBB75451

• Signatur verifizieren

gpg --verify SHA256SUMS.gpg SHA256SUMS

• ISO überprüfen

für Linux

sha256sum -c SHA256SUMS 2>&1 | grep OK

für Windows:
SHA-265 Tool herunterladen
Mit CMD in das Download Verzeichnis navigieren

sha256sum.exe -c SHA256SUMS

Erwartete Ausgabe

ubuntu-16.04.2-server-amd64.iso: OK

• Quellen

1. Ubuntu verifizieren: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#0
2. Download Ubuntu: https://www.ubuntu.com/download/server
3. Download Checksummen/GPG: http://releases.ubuntu.com/16.04/
4. GnuGP: https://www.gnupg.org/
5. GnuGP: https://wiki.ubuntuusers.de/GnuPG/
6. GPG4Win: https://www.gpg4win.org/
7. Leerzeichenproblem: https://askubuntu.com/questions/796271/fetching-ubuntus-openpgp-keys-for-verification-fails-with-not-a-key-id-skippi
8. SHA-265 Tool: http://www.labtestproject.com/files/win/sha256sum/sha256sum.exe
9. Verify a Signature: http://www.mattnworb.com/post/how-to-verify-a-pgp-signature-with-gnupg/