Как криптографически проверить подлинность и целостность выпусков Microsoft Windows .iso (с помощью gpg?)

Для конкретного выпуска Windows, опубликованного Microsoft, как я могу криптографически проверить подлинность и целостность .iso файл, который я загрузил, прежде чем скопировать его на USB-накопитель и попытаться установить на свой ноутбук?

Сегодня я хотел загрузить Microsoft Windows 10, но на странице загрузки ничего не говорилось о том, как криптографически проверить целостность и подлинность их выпуска после загрузки.

https://www.microsoft.com/en-us/software-download/windows10ISO

Примечание. У меня нет Windows, и приведенная выше страница будет динамически меняться в зависимости от того, обнаруживает ли она, что вы используете Windows или нет. В моем случае он предлагает мне загрузить .iso по следующей ссылке, потому что я использую Linux

Я ожидал увидеть на странице загрузки сообщение:

  1. Отпечаток ключа подписи выпуска PGP,
  2. Ссылка на дополнительную документацию и
  3. Ссылки на [a] файл манифеста (например, SHA256SUMS) и [b] отдельная подпись этого файла манифеста (например, SHA256SUMS.asc, SHA256SUMS.sig, SHA256SUMS.gpg, так далее)

К сожалению, единственная информация, которую я нашел на странице загрузки, – это то, как проверить целостность образа с помощью SHA256SUM, найденного в таблице на той же странице. Очевидно, это проверяет целостность, но не подлинность. И он не обеспечивает безопасности, потому что он не выходит за пределы диапазона .iso сам.

Как я могу выполнить предварительную проверку криптографической целостности и подлинности с помощью Microsoft Windows .iso выпускает?

1 ответ
1

Лучший способ проверить ISO – это в первую очередь загрузить его из Microsoft (дважды, если вы хотите быть действительно уверены, хотя это несколько слишком).

В противном случае вам нужно полагаться на хеши SHA1. К сожалению, Microsoft удалила общедоступный доступ из области загрузки для подписчиков MSDN, где раньше можно было искать хэши SHA1.

Если вы не знаете подписчика MSDN, который может получить для вас хэш SHA1, вам нужно полагаться на сторонние веб-сайты, которые перечисляют эти хэши для вас. Ниже представлены два таких сайта:

Также обратите внимание на проверку целостности образа ISO после публикации.

  • Жалко, что они заблокировали / заплатили за хэши 🙁 Догадываясь, что они блокировали другой контент и не заметили этот элемент

    – Грегг
    12 часов назад

  • Этот ответ не предоставляет никакой информации о проверке подлинности или криптографической целостности. Весь смысл этого вопроса состоит в том, чтобы выяснить, как убедиться, что мой .iso на самом деле исходил от Microsoft. Кроме того, SHA1 небезопасен. Я считаю, что контрольные суммы, предоставленные Microsoft, являются хешами SHA256. Это дает вам целостность, но не подлинность.

    – Майкл Альтфилд
    8 часов назад

  • Простите, но если ваш диск такой же, как у Microsoft, какое вам дело? Файлы не имеют прикрепленной истории, указывающей, где они были изначально. Вам не кажется, что ваш отрицательный голос был преувеличен?

    – harrymc
    8 часов назад

  • Было заявлено, что Microsoft не предоставляет метод проверки подлинности ISO-образа Windows.

    – Рамхаунд
    6 часов назад

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *