如何使用 SHA256 校正下載的檔案

如何使用 SHA256 校正下載的檔案

當你下載了一個 ISO 鏡像，特別是從 BitTorrent 網路上很多未知的種子處下載的，通常建議要驗證下載鏡像的完整性。

對於 Ubuntu 發行版的情況， Canonical 提供了幾個供驗證使用的驗校檔案（如 MD5SUM， SHA1SUMS 和 SHA256SUMS）。在這個例子中我們使用 SHA256SUMS。

首先，下載下面兩個檔案。

1. $ wget http://releases.ubuntu.com/14.10/SHA256SUMS
2. $ wget http://releases.ubuntu.com/14.10/SHA256SUMS.gpg

第一個檔案是 ISO 鏡像的 SHA256 驗校檔案，而第二個檔案（*.gpg）是驗校檔案的簽名。第二個檔案的目的是驗證驗校檔案本身的有效性。

我們通過運行下面的命令來驗證 SHA256SUMS 檔案的有效性。

1. $ gpg --verify SHA256SUMS.gpg SHA256SUMS

1. gpg:Signature made Thu23Oct201409:36:00 AM EDT using DSA key ID FBB75451
2. gpg:Can't check signature: public key not found

如果你得到上面的錯誤資訊，是因為你還沒有匯入產生這個簽名的公用密鑰。因此我們現在匯入需要的公用密鑰。

這樣做之前，你需要知道公用密鑰的 “key ID”，而這在上面的 gpg 命令的輸出中有顯示。在這個例子中，金鑰識別碼 時 “FBB75451”。運行下面的命令來從官方 Ubuntu 密鑰伺服器匯入公用密鑰。

1. $ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys FBB75451

既然公用密鑰已經被匯入，我們可以繼續並重新運行之前的命令來驗證簽名。

1. gpg --verify SHA256SUMS.gpg SHA256SUMS

這次你沒有看到 “public key not found” 的錯誤資訊。如果 SHA256SUMS 檔案時有效，你會看到 “Good signature from ” 的資訊。注意到你還看到一個 “This key is not certified with a trusted signature” 的警告資訊。基本上這個警告資訊是告訴你對匯入的公用密鑰沒有明確信任。要避免這個警告，你可以選擇指定完全信任匯入的公用密鑰，但你應該只有在通過其他方式審查了這個密鑰之後才這樣做。否則的話，你可以暫時忽略這個警告。

在驗證了 SHA256SUMS 檔案的完整性後，最後一個步驟是比較已下載 ISO 檔案的 SHA256 驗校和和 SHA256SUMS 檔案中對應的驗校值。你可以使用 sha256sum 命令列工具來完成這個步驟。

為方便起見，下面一行命令比較 SHA256 驗校和並報告結果。

1. $ sha256sum -c <(grep ubuntu-14.10-desktop-amd64.iso SHA256SUMS)

1. ubuntu-14.10-desktop-amd64.iso: OK

如果你看到了上面的輸出資訊，這表明兩個驗校值相匹配。這樣已下載 ISO 鏡像的完整性就被成功的驗證了。

本文永久更新連結地址：