iso verifieren in Debian

[ZijneBalorigheid]

Goedemorgen,

Ik ben de mogelijkheden van andere KDE-distros dan Kubuntu aan het verkennen. Waarom niet gewoon Debian?
Nou, omdat het verifieren van hun .iso bestanden op een manier gaat, waar ik nu eens heel weinig van begrijp. Het is niet bepaald gewoon een checksum in Gtk-Hash invoeren en klaar.

https://www.debian.org/CD/verify

Wie kan mij duidelijk maken?

[peer]

ik heb de iso's van debian nog nooit gecontroleerd. Wel zorg ik ervoor dat ik de iso's download van de bron dus van: https://www.debian.org/distrib/.
Ik kies altijd voor de netinstall en installeer daarmee de kde versie.

[vanadium]

Het is niet bepaald gewoon een checksum in Gtk-Hash invoeren en klaar.

Eerste stap wel, tweede stap is verifiëren dat de iso én bijhorende hash wel degelijk van Debian komen.

[loti]

Hier kan je de checksum downloaden.

https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

[ZijneBalorigheid]

ik heb de iso's van debian nog nooit gecontroleerd. Wel zorg ik ervoor dat ik de iso's download van de bron dus van: https://www.debian.org/distrib/.
Ik kies altijd voor de netinstall en installeer daarmee de kde versie.

Wil je nu zeggen dat de netinstall niet gecontroleerd hoeft te worden of neem jij het risico?  Het lijkt logisch als de netinstall rechtstreeks van DEbian komt maar zou ook daar in theorie mee geknoeid kunnen zijn?

[ZijneBalorigheid]

Hier kan je de checksum downloaden.

https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

Hier kan je de checksum downloaden.

https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

Mijn dank, nu wil ik graag zien hoe ik daar via debian.org zelf kan komen .

Maar waarom oh waarom als je hier kijkt: https://www.debian.org/CD/verify , heeft men het over sleutelbossen etc etc etc? En waarom staan deze checksums https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/ zo ver weg verstopt op de site?

[vanadium]

Maar waarom oh waarom als je hier kijkt: https://www.debian.org/CD/verify , heeft men het over sleutelbossen etc etc etc?

Zie hier" "tweede stap is verifiëren dat de iso én bijhorende hash wel degelijk van Debian komen."

Als je een iso met de bijhorende hash-sum checkt, dan weet je dat de iso met die hash-sum overeenkomt, m.a.w, niet is gewijzigd (door een transmissiefout, of omdat een hacker een vervalste kopie op de server heeft upgeload). Je weet echter nog steeds niet of het de bestanden van Debian zijn: de hacker kan een vervalste kopie samen met bijhorende hash-sum opgeladen hebben.

Daarvoor dient dan de tweede stap. Met pgp (pretty good privacy) controleer je of de checksums wel degelijk van Debian zijn. Debian ondertekent dat checksumbestand met hun private sleutel. De gebruiker controleert die handtekening met de publieke sleutel. Klopt dit, dan is het bestand zeker van Debian, want enkel zij hebben de private sleutel. Om te verifiëren dat die sleutel wel degelijk van hen is, gebruik je "sleutelservers" ("web of trust"). In principe kan dergelijke verificatie ook gebeuren door de persoon op te bellen, maar in vele gevallen is dat uiteraard niet praktisch.

En waarom staan deze checksums https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/ zo ver weg verstopt op de site?

"look for them alongside the images in the iso-cd, jigdo-dvd, iso-hybrid etc. directories" (bron)

Mijn dank, nu wil ik graag zien hoe ik daar via debian.org zelf kan komen .

Zie net hierboven.

[ZijneBalorigheid]

 

Daarvoor dient dan de tweede stap. Met pgp (pretty good privacy) controleer je of de checksums wel degelijk van Debian zijn. Debian ondertekent dat checksumbestand met hun private sleutel. De gebruiker controleert die handtekening met de publieke sleutel. Klopt dit, dan is het bestand zeker van Debian, want enkel zij hebben de private sleutel. Om te verifiëren dat die sleutel wel degelijk van hen is, gebruik je "sleutelservers" ("web of trust"). In principe kan dergelijke verificatie ook gebeuren door de persoon op te bellen, maar in vele gevallen is dat uiteraard niet praktisch.

Dan zijn we bij dezen weer enkele stappen terug op het cirkeltje: De handleiding/beschrijving https://www.debian.org/CD/verify is vaag ook wellicht omdat dit nieuw is voor mij. Wat is in logische stappen de procedure?
De controlesom SHA256 voor de netinstallatie-iso heb ik inmiddels gecheckt. (Waarom bieden de ubuntu-distros geen dubbele controle aan zoals Debian?)

[vanadium]

Dan zijn we bij dezen weer enkele stappen terug op het cirkeltje: De handleiding/beschrijving https://www.debian.org/CD/verify is vaag ook wellicht omdat dit nieuw is voor mij. Wat is in logische stappen de procedure?

Ik weet niet of we enkele stappen terug zijn: ook inzicht verwerven is belangrijk. Nu je duidelijk ziet wat je moet (kan) doen, rest inderdaad de vraag hoe het precies gedaan wordt. Wellicht heel standaard voor iemand die al eens met pgp werkt, maar dat is voor mij niet het geval.

Je zou dat ook kunnen overslaan: het feit dat ze de controle aanbieden, geeft op zich al extra vertrouwen. En de dag dat beide bestanden gehackt zijn, zullen we het vlug weten.

[M_aD]

Goedemorgen,

Ik ben de mogelijkheden van andere KDE-distros dan Kubuntu aan het verkennen. Waarom niet gewoon Debian?

Voor het veriferen zoek ik me andere mogelijkheden. Daarnaast gebruik ik geen Debian of (K)ubuntu om het simple feit dat de software te oud is en KDE brengt regelmatig updates uit met nieuwe features en verbeteringen. Fedora KDE of een slow rolling release met KDE Plasma vind ik persoonlijk beter.

[ZijneBalorigheid]

Goedemorgen,

Ik ben de mogelijkheden van andere KDE-distros dan Kubuntu aan het verkennen. Waarom niet gewoon Debian?

Voor het veriferen zoek ik me andere mogelijkheden. Daarnaast gebruik ik geen Debian of (K)ubuntu om het simple feit dat de software te oud is en KDE brengt regelmatig updates uit met nieuwe features en verbeteringen. Fedora KDE of een slow rolling release met KDE Plasma vind ik persoonlijk beter.

"Waarom niet Debian?" was meer een retorische vraag. Ik denk dat Debian een goede keuze is voor wie gewoon stabiel spul zoekt.
Fedora schijnt inderdaad goed te zijn maar ik ben nu eenmaal behoorlijk gewend aan de Debian based handel en ik heb niet zo veel tijd/zin in weer een leercurve. Wat is een voorbeeld van een slow rolling release met KDE plasma?

Je zoekt andere mogelijkheden voor verifieren, welke en hoe? Dat is immers de vraag van mijn topic, ik hoor graag.

[M_aD]

Ik gebruik om ISO's te veriferen gewoon de SHASUM zoals eerder ook al werd aangegeven in een paar posts hierboven.

Manjaro is bijvoorbeeld een, voor mij althans, slow rolling release omdat ze ondanks op Arch te zijn gebaseerd ze de updates langzamer laten door komen dan Arch zelf. KDE is op Manjaro momenteel op 6.5.4 terwijl Arch en zelfs Fedora al de 6.5.5 versie bevatten en de laatste nieuwe stabiele kernels.

Verder valt de "leercurve" wel reuze mee, Fedora heeft bijvoorbeeld DNF ipv APT en RPM ipv DEB. De rest van de commando's als je via de terminal wil werken blijft hetzelfde en tegenwoordig zijn het grafische pakketten managers om spul te installeren, Flatpak zit ook standaard in Fedora maar moet geactiveert worden door een simpele klik.

Ik dwaal wat ver af maar ik heb door de jaren heen (sinds 2007) vele distro's gebruikt en kan zonder problemen switchen. In het algemeen is het allemaal één pot nat. Het verschil zit 'm in hoe of wat een distro project doet of wil doen en het pakket beheer.

[ZijneBalorigheid]

Graag wil ik weer even terug naar de kern van mijn probleem:
Een iso op zich verifieren, is niet het punt (meer). Wat zoekwerk brengt mij naar de juiste bestanden. Zowel de .iso als de sha256checksum voor de gewenst debian-optie heb ik gevonden.

Daarna is er nog een stap nodig, namelijk de sha256checksum verifieren door middel van het sha256checksum.sign bestand. (https://www.debian.org/CD/verify)

Daar heb ik o.a. GnuPG voor nodig, dat schijnt in Kubuntu aanwezig te zijn. Vervolgens heb ik de Debian OpenPGP sleutelbos nodig, gebruiken via het web van vertrouwen etc etc. Prima, er staat wat ik moet doen, wedervraag: hoe dan?
Ik vind verschillende uitleg die allemaal net niet helder zijn.

[vanadium]

Probeer eens het volgende:

Download het checksumbestand en de bijhorende "handtekening" in de directory waar je het ISO bestand download, bijvoorbeeld SHA512SUMS en SHA512SUMS.sign (de variant SHA512SUMS is er een met "zwakkere" encryptie).

daarna:

Code: [Selecteer]

$ gpg --verify SHA512SUMS.sign
gpg: assuming signed data in 'SHA512SUMS'
gpg: Signature made Sat 10 Jan 2026 10:07:31 PM CET
gpg:                using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Can't check signature: No public key
$
Zo kom je de KEYID (RSA key) te weten.

Importeer die publieke sleutel nu in de sleutelbos van gpg:

Code: [Selecteer]

$ gpg --keyserver keyring.debian.org --recv-keys DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: /home/vanadium/.gnupg/trustdb.gpg: trustdb created
gpg: key DA87E80D6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
$

Verifieer nu de handtekening:

Code: [Selecteer]

$ gpg --verify SHA256SUMS.sign SHA256SUMS
gpg: Signature made Sat 10 Jan 2026 10:07:30 PM CET
gpg:                using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
$

De WARNING klinkt niet geruststellend, maar de ultieme verificatie van een sleutel die je download gebeurt in principe via persoonlijk contact met Debian (kan per telefoon), of anders via een web of trust, waarbij je 100% vertrouwt op anderen die de sleutel wel 100% hebben geverifieerd. In de praktijk ben je nu wel 99.9% zeker. De sleutel komt van de Debian keyserver, keyring.debian.org, en de hackers moeten al bijzonder diep in het systeem zitten om niet alleen de downloadservers, maar ook nog eens die keyring server te hebben gehacked om de ganse keten te vervalsen.

[ZijneBalorigheid]

Kijk, dit is info, mijn dank. Enkele minuten geleden heb ik ook al gereageerd op hulp van het debian-forum maar in jouw uitleg staat hier en daar net even wat uitgebreidere uitleg. Uiteindelijk is de uitkomst bij beide hetzelfde.

Het moet ook mogelijk zijn om een checksum te verifieren in een programma als Kleopatra. Ken je dat?