LinuxシステムでSHA 256を使用してダウンロードしたファイルを検証する方法
まず、次の2つのファイルをダウンロードします。
コードのコピー$ wget http://releases.ubuntu.com/14.10/SHA256SUMS.gpg
1つ目のファイルはISOミラーのSHA 256校正ファイルであり、2つ目のファイル(*.gpg)は校正ファイルの署名である。2番目のファイルの目的は、校正ファイル自体の有効性を検証することです。
次のコマンドを実行してSHA 256 SUMSファイルの有効性を検証します。$ gpg --verify SHA256SUMS.gpg SHA256SUMS
gpg: Signature made Thu 23 Oct 2014 09:36:00 AM EDT using DSA key ID FBB75451
gpg: Can't check signature: public key not found
上記のエラーメッセージを取得したのは、この署名を生成する公開鍵をインポートしていないからです。そこで、必要な公開鍵をインポートします。コードのコピー
$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys FBB75451コードのコピー
gpg --verify SHA256SUMS.gpg SHA256SUMS
今回は「public key not found」というエラーメッセージは見られませんでした。SHA 256 SUMSファイルが有効であれば、「Good signature from」の情報が表示されます。「This key is not certified with a trusted signature」の警告メッセージも表示されていることに気づきました。基本的にこの警告情報は、インポートされた公開鍵に対して明確な信頼がないことを示しています。この警告を回避するには、インポートされた公開鍵を完全に信頼するように指定することができますが、他の方法でこの鍵を審査した後にのみ行う必要があります。そうでなければ、この警告を一時的に無視することができます。
SHA 256 SUMSファイルの完全性を検証した後、最後のステップはISOファイルをダウンロードしたSHA 256校正とSHA 256 SUMSファイルの校正値を比較することである。sha 256 sumコマンドラインツールを使用して、この手順を完了できます。便宜上、次のコマンドはSHA 256の校正を比較し、結果を報告します。