Wie kann ich die Prüfsummen des Debian ISOs validieren

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
nutzerJ
Beiträge: 5
Registriert: 19.01.2025 11:56:57

Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von nutzerJ » 19.01.2025 12:00:16

Liebe Community,

ich möchte mich mal an Debian versuchen und gerne die Distribution installieren. Ich möchte aber die Integrität der heruntergeladenen ISO prüfen, konnte aber keine checksum für die gesamte ISO finden. Übersehe ich etwas?

Vielen Dank im Voraus!

kreuzschnabel
Beiträge: 556
Registriert: 24.09.2020 14:51:14

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von kreuzschnabel » 19.01.2025 12:02:31

Wo hast du die *.iso denn runtergeladen?

Auf https://www.debian.org/download sehe ich direkt unter dem Download-Link einen Link zur Prüfsumme.

--ks
Hier so: Debian Stable/Sid (nach Laune) – KDE Plasma – Lenovo Thinkpad T470p – i7-7700HQ – 32GB RAM

nutzerJ
Beiträge: 5
Registriert: 19.01.2025 11:56:57

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von nutzerJ » 19.01.2025 12:33:29

Danke für die Antwort. Das hatte ich auch gesehen.

"Offizielle Veröffentlichungen von Debian-Installations- und Live-Images enthalten signierte Prüfsummen-Dateien; Sie finden diese in den Verzeichnissen iso-cd, jigdo-dvd, iso-hybrid usw. Die Prüfsummen ermöglichen Ihnen, zu überprüfen, ob die Images, die Sie heruntergeladen haben, korrekt sind."

Das deute ich aber so, dass darunter keine Prüfsumme für das gesamte ISO ist, oder täusche ich mich?

schwedenmann
Beiträge: 5647
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von schwedenmann » 19.01.2025 12:42:32

Hallo

Das deute ich aber so, dass darunter keine Prüfsumme für das gesamte ISO ist, oder täusche ich mich?
Doch das sind Prüfsummen für die Iso-dateien


mfg
schwedenmann

uname
Beiträge: 12474
Registriert: 03.06.2008 09:33:02

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von uname » 19.01.2025 12:47:00

Danach geht es automatisch.

https://wiki.debian.org/SecureApt

Schau auch

https://www.heise.de/news/Schaedling-in ... 13114.html

Daher nie der Prüfsumme vom Download-Server trauen.

nutzerJ
Beiträge: 5
Registriert: 19.01.2025 11:56:57

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von nutzerJ » 19.01.2025 12:56:41

uname hat geschrieben: ↑ zum Beitrag ↑
19.01.2025 12:47:00
Danach geht es automatisch.

https://wiki.debian.org/SecureApt

Schau auch

https://www.heise.de/news/Schaedling-in ... 13114.html

Daher nie der Prüfsumme vom Download-Server trauen.
Danke!
uname hat geschrieben: ↑ zum Beitrag ↑
19.01.2025 12:47:00
Danach geht es automatisch.
Bedeutet das, dass ich nach dem Download gar keine weitere Verifizierung von Hand durchführen muss?

kreuzschnabel
Beiträge: 556
Registriert: 24.09.2020 14:51:14

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von kreuzschnabel » 19.01.2025 13:11:19

nutzerJ hat geschrieben: ↑ zum Beitrag ↑
19.01.2025 12:56:41
uname hat geschrieben: ↑ zum Beitrag ↑
19.01.2025 12:47:00
Danach geht es automatisch.
Bedeutet das, dass ich nach dem Download gar keine weitere Verifizierung von Hand durchführen muss?
Nein. „Danach“ bedeutet, dass du nach der Installation in Debian die dort heruntergeladenen Softwarepakete (also die Software, die du unter Debian installierst) nicht mehr einzeln prüfen musst. Nach der Installation. Insofern hat diese Antwort mit deiner Frage nicht allzu viel zu tun.

Wäre es dir im Laufe des Tages möglich, meine Frage (wo du das iso runtergeladen hast) zu beantworten? Dann kann ich dir auch genau sagen, wo du die dazugehörige Prüfsumme findest. Es gibt nicht „das“ iso, es gibt mehrere, vom 62 MB kleinen mini.iso bis zum lauffähigen Live-iso, und für jedes gibt es logischerweise eine separate Prüfsumme.

--ks
Hier so: Debian Stable/Sid (nach Laune) – KDE Plasma – Lenovo Thinkpad T470p – i7-7700HQ – 32GB RAM

nutzerJ
Beiträge: 5
Registriert: 19.01.2025 11:56:57

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von nutzerJ » 19.01.2025 13:19:59

kreuzschnabel hat geschrieben: ↑ zum Beitrag ↑
19.01.2025 12:02:31
Wo hast du die *.iso denn runtergeladen?
Ah, sorry! Ich hatte deine Frage übersehen. Das ist eine gute Frage, wo ich es heruntergeladen hatte. Ich habe eben mal versucht, das zu rekonstruieren und konnte es nicht mehr finden.

Ich fand jetzt aber diesen Link. Und da stehen die Checksums ja schon dabei (die oberste scheint mir auch für das gesamte ISO zu sein)! Muss ich irgendwie übersehen haben. Wolltest du mich auch darauf aufmerksam machen?

kreuzschnabel
Beiträge: 556
Registriert: 24.09.2020 14:51:14

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von kreuzschnabel » 19.01.2025 13:32:13

nutzerJ hat geschrieben: ↑ zum Beitrag ↑
19.01.2025 13:19:59
Wolltest du mich auch darauf aufmerksam machen?
Entsprechend deiner Antwort halt :)

Ich würde die Prüfsummendatei gar nicht runterladen. Ich würde die Prüfsumme direkt auf dem Server aufrufen und sie mit der bei mir lokal aus dem Download ermittelten Prüfsumme vergleichen. Dabei musst du nicht den kompletten Rattenschwanz durchgehen; wenn zwei, drei Stichproben übereinstimmen, passt das schon mit einer Wahrscheinlichkeit von 1−10⁻¹⁰. Auch eine kleine Modifikation hat in der Regel eine komplett andere Prüfsumme zur Folge.

Das Risiko, dass ein Angreifer das iso und die Prüfsumme auf dem Server getauscht hat, geht gegen Null, und selbst dagegen könntest du dir die Prüfsumme (zur selben iso-Variante!) von einem anderen Server holen (hier die Liste aller Debian-Mirrors).

--ks
Hier so: Debian Stable/Sid (nach Laune) – KDE Plasma – Lenovo Thinkpad T470p – i7-7700HQ – 32GB RAM

nutzerJ
Beiträge: 5
Registriert: 19.01.2025 11:56:57

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von nutzerJ » 19.01.2025 14:38:57

Super, danke!

tobo
Beiträge: 2434
Registriert: 10.12.2008 10:51:41

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von tobo » 19.01.2025 17:21:34

kreuzschnabel hat geschrieben: ↑ zum Beitrag ↑
19.01.2025 13:32:13
Das Risiko, dass ein Angreifer das iso und die Prüfsumme auf dem Server getauscht hat, geht gegen Null, und selbst dagegen könntest du dir die Prüfsumme (zur selben iso-Variante!) von einem anderen Server holen (hier die Liste aller Debian-Mirrors).
Viel einfacher - neben der Prüfsumme, welche die Unversehrtheit der ISO-Datei prüft, gibts da zusätzlich auch noch eine Signature-Datei, welche die Urheberschaft prüft.

reox
Beiträge: 2557
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von reox » 24.01.2025 10:04:03

Die Anleitung ist doch eh auch direkt auf der Download Seite verlinkt: https://www.debian.org/CD/verify
uname hat geschrieben: ↑ zum Beitrag ↑
19.01.2025 12:47:00
https://www.heise.de/news/Schaedling-in ... 13114.html

Daher nie der Prüfsumme vom Download-Server trauen.
Jetzt kann man natürlich auch noch argumentieren das ein potentieller Angreifer auch die GPG Keys fälschen könnte und somit eine "korrekte" signatur erzeugt - Ich weiß nicht ob es einen Vertrauenspfad von dir zu diesem Key gibt.

Benutzeravatar
cosinus
Beiträge: 4461
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von cosinus » 24.01.2025 10:23:43

uname hat geschrieben: ↑ zum Beitrag ↑
19.01.2025 12:47:00
Daher nie der Prüfsumme vom Download-Server trauen.
Die Prüfsummendateien sind doch signiert. Wenn die Signatur passt, warum nicht?

reox hat geschrieben: ↑ zum Beitrag ↑
24.01.2025 10:04:03
Jetzt kann man natürlich auch noch argumentieren das ein potentieller Angreifer auch die GPG Keys fälschen könnte und somit eine "korrekte" signatur erzeugt - Ich weiß nicht ob es einen Vertrauenspfad von dir zu diesem Key gibt.
Die Prüfsummen der ISO-Files stehen in den Dateien SHA256SUMS und SHA512SUMS. Zu den beiden Dateien gibt es noch signierte Dateien SHA256SUM.sign und SHA512SUMS.sign.
Wenn man das nun prüfen will ich beziehe mich jetzt nur auf SHA256:

Schritt 1: beide Dateien runterladen

Code: Alles auswählen

wget https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA256SUMS
wget https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA256SUMS.sign
Schritt 2: mit gpg prüfen

Code: Alles auswählen

gpg --verifiy SHA256SUMS.sign
Es kommt dann sowas wie:

Code: Alles auswählen

$ gpg --verify SHA256SUMS.sign
gpg: die unterzeichneten Daten sind wohl in 'SHA256SUMS'
gpg: Signatur vom Sa 11 Jan 2025 19:08:10 CET
gpg:                mittels RSA-Schlüssel DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Korrekte Signatur von "Debian CD signing key <debian-cd@lists.debian.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
Wäre auch nur ein Zeichen falsch, zuviel oder zuwenig in der SHA256SUMS, käme sowas:

Code: Alles auswählen

$ gpg --verify SHA256SUMS.sign
gpg: die unterzeichneten Daten sind wohl in 'SHA256SUMS'
gpg: Signatur vom Sa 11 Jan 2025 19:08:10 CET
gpg:                mittels RSA-Schlüssel DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: FALSCHE Signatur von "Debian CD signing key <debian-cd@lists.debian.org>" [unbekannt]

Falls das hier kommt:

Code: Alles auswählen

$ gpg --verify SHA256SUMS.sign
gpg: die unterzeichneten Daten sind wohl in 'SHA256SUMS'
gpg: Signatur vom Sa 11 Jan 2025 19:08:10 CET
gpg:                mittels RSA-Schlüssel DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
Muss man den Schlüssel erst importieren mittels:

Code: Alles auswählen

$ gpg --keyserver keyring.debian.org --recv-keys DF9B9C49EAA9298432589D76DA87E80D6294BE9B

reox
Beiträge: 2557
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von reox » 24.01.2025 10:57:21

cosinus hat geschrieben: ↑ zum Beitrag ↑
24.01.2025 10:23:43
Die Prüfsummendateien sind doch signiert. Wenn die Signatur passt, warum nicht?
Du kannst dann auch nur vertrauen das der publizierte Public Key tatsächlich der ist, der er vorgibt. Wenn ein Angreifer vollen Zugriff auf den Server hat könnte er 1) ein falsches ISO bereit stellen 2) die dazu passenden SHA512 veröffentlichen und 3) den Public Key veröffentlichen der zur Signatur der SHA512 passt.

GPG warnt dich ja sogar davor:

Code: Alles auswählen

gpg: Korrekte Signatur von "Debian CD signing key <debian-cd@lists.debian.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Die Signatur ist korrekt, aber du hast diesem Schlüssel kein Vertrauen gegeben.

Benutzeravatar
cosinus
Beiträge: 4461
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von cosinus » 24.01.2025 11:56:13

reox hat geschrieben: ↑ zum Beitrag ↑
24.01.2025 10:57:21
Die Signatur ist korrekt, aber du hast diesem Schlüssel kein Vertrauen gegeben.
Richtig, ich muss sicherstellen, dass ich den korrekten Schlüssel verwende und dass der private Schlüssel auch nicht in falsche Hände geriet. Irgendwo startet nunmal die Vertrauenskette, in diesem Fall beim Schlüssel.

Benutzeravatar
cosinus
Beiträge: 4461
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von cosinus » 24.01.2025 23:38:49

reox hat geschrieben: ↑ zum Beitrag ↑
24.01.2025 10:57:21
den Public Key veröffentlichen der zur Signatur der SHA512 passt.
Das wird schwierig, weil ja der public key von Debian ja bekannt ist -> DF9B9C49EAA9298432589D76DA87E80D6294BE9B

https://www.linuxquestions.org/question ... 175710109/
https://wiki.debian.org/VerifyISOImage

Wenn man nun also plötzlich einen neuen braucht für das Verifizieren sollte man nochmal genauer prüfen ob sich offiziell der Schlüssel geändert hat. Das dickste Probleme wäre natürlich wenn der private key vom Debianteam in falsche Hände kommt. Ist das schonmal bei Debian passiert? Ich kenn da so eine Großbude aus Redmond, da ist schonmal Ähnliches passiert... :wink: :facepalm: :mrgreen:

wanne
Moderator
Beiträge: 7616
Registriert: 24.05.2010 12:39:42

Re: Wie kann ich die Prüfsummen des Debian ISOs validieren

Beitrag von wanne » 25.01.2025 03:32:23

reox hat geschrieben: ↑ zum Beitrag ↑
24.01.2025 10:04:03
Jetzt kann man natürlich auch noch argumentieren das ein potentieller Angreifer auch die GPG Keys fälschen könnte und somit eine "korrekte" signatur erzeugt - Ich weiß nicht ob es einen Vertrauenspfad von dir zu diesem Key gibt.
Passende keys werden bei jeder Debian-Installation mitgeliefert. Liegt unter /usr/share/keyrings/debian-role-keys.gpg auch ubuntu und Gentoo haben passende keys zum verifizieren von Debian-CDs in den Repos.
Wenn man also irgend wo ne passende Installation hat, kann man damit verifizieren.
Daneben gibt es den auf diversen Websiten wie hier im Post von cosinus. Aber am Ende hast du natürlich recht: Wenn man den von der selben Website nach guckt wie die von der man die iso holt, ist man so schlau wie zuvor.

Der Hintergrund warum das Überprüfen betont wird, ist dass der Download nicht wirklich vom Server von debian kommt sondern Mirrors genutzt werden. Da konnte früher jeder mitmachen. Nach anfrage wurde getestet deine Server zuverlässig schnell genug sind und nach einer weile wurde man in ne Liste aufgenommen aus der bei jedem Download ein (pseudo) zufälliger ausgewählt wurde. Um die Server der Freiwilligen zu entlasten wurde da auch kein https sondern http genutzt bei dem man relativ einfach Inhalte bei der Übertragung abändern kann. Da man eh keine Ahnung hatte, wer das verteilt und ob der böse Absichten hat war der zusätzliche Schutz sinnlos. Wer die Checksumen nicht überprüft war selbst schuld. Projeket hier aus Deutschland, dass es irgend wann in diese Liste der zuverlässigen Server geschafft hat waren ein paar Studenten aus Esslingen die dann irgend wann mal einen Großteil der Downloads aus Europa bekamen. Die GPG keys waren dagegen schon lange auf den debianeigenen Servern.
Heute kommen die ISOs, wenn man sie (egal wo auf der Welt) von der Debian-Website lädt immer per https von der Infrastruktur in Schweden:
https://ftp.acc.umu.se/about/ von denen: https://www.accum.se/index.html.sv
Das ist immer noch irgend ein zufälliges Projekt aber halt 4 bekannte Admins das schränkt die Möglichkeiten für Kompomitation deutlich ein und macht das überprüfen weniger relevant.
Aber natürlich gibt es viele der Projekte weiterhin.
Da sie nicht bei Hetzer sondern bei der lokalen Uni hosten kann man natürlich weiter aus Esslingen landen, wenn man die Weltweite Infrastruktur entlasten und lokal laden will:
http://ftp-stud.hs-esslingen.de/pub/Mirrors/debian-cd/.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten