ISOイメージの確認について

Linux Mintの初心者向けフォーラム

ISOイメージの確認について

投稿記事by motinoki » 2016年12月27日(火) 14:28

Linuxを利用しはじめてから1ヶ月未満の初心者です。

LinuxMintをインストールして少しずつその操作にも慣れてきたのを機に、https://linuxmint.com/verify.phpを参照しながら
「linuxmint-18-xfce-64bit.iso」の「Authenticity check(真正性チェック)」を実行したのですが、「不正な 署名」と表示されます。
3ヶ所のミラーサイト(アメリカ、カナダ、オーストラリア)にてダウンロードしたISOイメージをチェックしたのですが同じ表示が出てきます。
なお、「Integrity check(整合性チェック)」における「sha256sum.txt」の値に相違はありませんでした。

これは本当に「不正な」ことが行われたのか、あるいは単純な入力ミスなのか、どちらか判別がつかなかったので教えてください。


以下、「Authenticity check(真正性チェック)」における入力及び表示内容を記載します。

ユーザー名-desktop ~ $ gpg --keyserver keyserver.ubuntu.com --recv-key A25BAE09
gpg: 鍵リング「/home/ユーザー名/.gnupg/secring.gpg」ができました
gpg: 鍵リング「/home/ユーザー名/.gnupg/pubring.gpg」ができました
gpg: 鍵A25BAE09をhkpからサーバkeyserver.ubuntu.comに要求
gpg: /home/ユーザー名/.gnupg/trustdb.gpg: 信用データベースができました
gpg: 鍵A25BAE09: 公開鍵"Linux Mint ISO Signing Key <root@linuxmint.com>"をインポートしました
gpg: 究極的に信用する鍵が見つかりません
gpg: 処理数の合計: 1
gpg: インポート: 1 (RSA: 1)
ユーザー名-desktop ~ $ cd iso
ユーザー名-desktop ~/iso $ gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: 2016年09月07日 21時56分33秒 JSTにRSA鍵ID A25BAE09で施された署名
gpg: "Linux Mint ISO Signing Key <root@linuxmint.com>"からの 不正な 署名
ユーザー名-desktop ~/iso $ gpg --list-key --with-fingerprint A25BAE09
pub 4096R/A25BAE09 2016-06-07
フィンガー・プリント = 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09
uid Linux Mint ISO Signing Key <root@linuxmint.com>

ユーザー名-desktop ~/iso $ gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: 2016年09月07日 21時56分33秒 JSTにRSA鍵ID A25BAE09で施された署名
gpg: "Linux Mint ISO Signing Key <root@linuxmint.com>"からの 不正な 署名
ユーザー名-desktop ~/iso $

以上、よろしくお願いします。
motinoki
前相撲
 
記事: 3
登録日時: 2016年12月27日(火) 14:06

Re: ISOイメージの確認について

投稿記事by fu-sen » 2016年12月27日(火) 16:40

いらっしゃいませ motinoki さん :D


さて、 質問の回答ですが、
https://linuxmint.com/verify.php の Authenticity check では、まずこのコマンドを実行するように記載されています。

コード: 全て選択
gpg --keyserver keyserver.ubuntu.com --recv-key "27DE B156 44C6 B3CF 3BD7  D291 300F 846B A25B AE09"

これで Linux Mint の署名鍵をインポートするのですが、これが実行されていないので「不正な署名」と表示されています。
これでインポートした後、自分が行った結果はこうなっています。(警告の 2 行は気にしなくて大丈夫です)

コード: 全て選択
balloon@Macbook-LinuxMint ~/ISO $ gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: 2016年09月07日 21時56分33秒 JSTにRSA鍵ID A25BAE09で施された署名
gpg: "Linux Mint ISO Signing Key <root@linuxmint.com>"からの正しい署名
gpg: *警告*: この鍵は信用できる署名で証明されていません!
gpg:          この署名が所有者のものかどうかの検証手段がありません。
主鍵フィンガー・プリント: 27DE B156 44C6 B3CF 3BD7  D291 300F 846B A25B AE09
balloon@Macbook-LinuxMint ~/ISO $

ちなみにこの Authenticity check は sha256sum.txt が正規情報である事を確認するもので、
Integrity check の項目が ISO ファイルを確認するそのものの手順となります。

画像

次のトピックでも手順を記載しています。

MD5・SHA256 の確認方法
viewtopic.php?f=2&t=1627
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: ISOイメージの確認について

投稿記事by motinoki » 2016年12月27日(火) 19:39

fu-sen さま、早々にご回答頂きありがとうございます。

「MD5・SHA256 の確認方法
 viewtopic.php?f=2&t=1627」
については、事前に参照させて頂いていました。
sha256sumの値については問題が無い事を確認しています。

ただ、そのトピックを掲載される事になった問題が発生した際、犯人が「sha256sum.txt.gpgの内容も差し替える事が出来た」という話を知ったため、念の為署名の確認も実施していた所です。

そのため、ご回答頂いた内容で再度実施してみたのですが、

ユーザー名-desktop ~ $ gpg --keyserver keyserver.ubuntu.com --recv-key "27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09"
gpg: 鍵A25BAE09をhkpからサーバkeyserver.ubuntu.comに要求
gpg: 鍵A25BAE09:"Linux Mint ISO Signing Key <root@linuxmint.com>"変更なし
gpg: 処理数の合計: 1
gpg: 変更なし: 1
ユーザー名-desktop ~ $ gpg --keyserver keyserver.ubuntu.com --recv-key A25BAE09
gpg: 鍵A25BAE09をhkpからサーバkeyserver.ubuntu.comに要求
gpg: 鍵A25BAE09:"Linux Mint ISO Signing Key <root@linuxmint.com>"変更なし
gpg: 処理数の合計: 1
gpg: 変更なし: 1
ユーザー名-desktop ~ $ gpg --list-key --with-fingerprint A25BAE09
pub 4096R/A25BAE09 2016-06-07
フィンガー・プリント = 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09
uid Linux Mint ISO Signing Key <root@linuxmint.com>

ユーザー名-desktop ~ $ cd
ユーザー名-desktop ~ $ cd iso
ユーザー名-desktop ~/iso $ gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: 2016年09月07日 21時56分33秒 JSTにRSA鍵ID A25BAE09で施された署名
gpg: "Linux Mint ISO Signing Key <root@linuxmint.com>"からの 不正な 署名
ユーザー名-desktop ~/iso $

という状態になりました。

その中で、
gpg: 鍵A25BAE09:"Linux Mint ISO Signing Key <root@linuxmint.com>"変更なし
gpg: 処理数の合計: 1
gpg: 変更なし: 1
ということは、既に署名鍵がインポートされている状態であると判断したのですが、それで間違いないでしょうか?
あるいは、一度インポートされている内容をクリアした方がいいのでしょうか。(その方法もよくわかりませんが)

それと、https://linuxmint.com/verify.phpの画面で示される2つのテキストファイルが直接ダウンロード出来なかったため、
リンク先に表示される内容をテキストエディタにコピーして同名で保存しisoフォルダに保存していました。
もしかしたらそれが原因なのかもしれないと感じたため情報の後出しで申し訳ありませんが、それで問題ないでしょうか?

質問ばかりで申し訳ありませんがよろしくお願いします。
motinoki
前相撲
 
記事: 3
登録日時: 2016年12月27日(火) 14:06

Re: ISOイメージの確認について

投稿記事by fu-sen » 2016年12月28日(水) 09:44

motinoki さんが書きました:それと、https://linuxmint.com/verify.phpの画面で示される2つのテキストファイルが直接ダウンロード出来なかったため、
リンク先に表示される内容をテキストエディタにコピーして同名で保存しisoフォルダに保存していました。
もしかしたらそれが原因なのかもしれないと感じたため情報の後出しで申し訳ありませんが、それで問題ないでしょうか?

あ、それです! それが原因で「不正な署名」と表示されています。1 文字でも違うと「不正な署名」になります。
テキストエディタへのコピー→貼り付けだと、前後の改行や文字コードが変わってしまいます。
公開されているファイルそのもので確認しなければいけません。

画像

おそらくクリックした時にダウンロード状態にならず、テキストが表示されていると思うのですが、
この時に右クリックで表示されるメニューからファイル保存が可能です。または Ctrl+S でも保存できます。
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: ISOイメージの確認について

投稿記事by motinoki » 2016年12月28日(水) 12:20

fu-sen さま、重ねてご回答頂きありがとうございます。

右クリック→「名前を付けてリンク先を保存」で取得したファイルにて実施した所、下記の通り「正しい署名」ということが確認できました。

ユーザー名-desktop ~ $ cd iso
ユーザー名-desktop ~/iso $ gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: 2016年09月07日 21時56分33秒 JSTにRSA鍵ID A25BAE09で施された署名
gpg: "Linux Mint ISO Signing Key <root@linuxmint.com>"からの正しい署名
gpg: *警告*: この鍵は信用できる署名で証明されていません!
gpg: この署名が所有者のものかどうかの検証手段がありません。
主鍵フィンガー・プリント: 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09
ユーザー名-desktop ~/iso $

テキストエディタへの貼り付けだと見た目が同じ様に見えても微妙に変化してしまうのですね、勉強になりました。
これで安心してLinux Mintを利用することが出来ます。

私の操作を改めて思い出してみると、グーグル日本語翻訳を利用して『How to verify ISO images』のページを開いた際にリンク先を開く事が出来ず、右クリックによるリンク先の保存名も違ったものになったのでそれは見送って、その後日本語翻訳をせずに開いた時にリンク先が開けたのでテキストをコピー&貼り付けていました。
ネット上には「テキストデータだから同じ」との話もありましたが、まさにそれが原因だったとは。

せっかくなので、私が書いているブログでも今回の顛末を記載してささやかながら応援させて頂きますね。

ご対応頂きありがとうございました。
motinoki
前相撲
 
記事: 3
登録日時: 2016年12月27日(火) 14:06


Return to 初心者サポート

オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[1人]

cron