前回、Security Onionをダウンロードして、Windowsでファイルの正当性検証をする方法としてGpg4winを使用して検証しました。
おすすめ記事
Windows10にWSLをインストールしているので、そのUbuntuでファイルの正当性を検証してみました。
まず、Ubuntuのホームディレクトリにダウンロードしたisoファイルとsigファイルを移動しました。
署名キーをダウンロードします。
$ wget https://raw.githubusercontent.com/Security-Onion-Solutions/security-onion/master/KEYS --2020-01-02 15:32:08-- https://raw.githubusercontent.com/Security-Onion-Solutions/security-onion/master/KEYS Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.228.133 Connecting to raw.githubusercontent.com (raw.githubusercontent.com)|151.101.228.133|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 3123 (3.0K) [text/plain] Saving to: ‘KEYS’KEYS 100%[================================================>] 3.05K --.-KB/s in 0.001s 2020-01-02 15:32:09 (4.77 MB/s) - ‘KEYS’ saved [3123/3123]
ダウンロードした署名キーをインポートします。
$ gpg --import KEYS gpg: directory '/home/$USER/.gnupg' created gpg: keybox '/home/$USER/.gnupg/pubring.kbx' created gpg: /home/USER/.gnupg/trustdb.gpg: trustdb created gpg: key 788F62F8ED6CF680: public key "Doug Burks <doug.burks@gmail.com>" imported gpg: Total number processed: 1 gpg: imported: 1
シグネチャファイルでisoファイルを検証します。
$ sudo gpg --verify securityonion-16.04.6.3.iso.sig securityonion-16.04.6.3.iso [sudo] password for $USER: gpg: WARNING: unsafe ownership on homedir '/home/$USER/.gnupg' gpg: Signature made Wed Nov 27 07:46:15 2019 JST gpg: using RSA key 788F62F8ED6CF680 gpg: Good signature from "Doug Burks <doug.burks@gmail.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: BD56 2813 E345 A068 5FBB 91D3 788F 62F8 ED6C F680
6行目:「Good signature」署名の検証がOKとなっています。
9行目:フィンガープリントがサイトで表示されているものと照合します。
同じことが確認できました。