今回は Manjaro の iso イメージをダウンロード。ファイルの整合性チェックまでやります。

• ダウンロード
• ファイルの整合性を確認
  • SHA1 によるファイルの整合性チェック
    • チェックサムファイルを作る
    • 実際にチェックする
  • GPG による署名のチェック
    • 1. GitHub から Manjaro 開発者の鍵を全てダウンロードする。
    • 2. ダウンロードした鍵をインポートする。
    • 3. Philip Müller の GPG 鍵をインポートする。
    • 4. 署名をチェック
• 終わりに
• 訂正

ダウンロード

今回は 公式ビルドの KDE エディションをダウンロードします。

過去に Virtual Box で試したときには Xfce よりもメモリ消費量が少なかったんですよねぇ。

↓の公式ダウンロードページからどうぞ。

Manjaro - KDE Plasma

1. 「Download」ボタンをクリックして iso ファイルをダウンロードします。
2. 「Download GPG signature」のリンクをクリックしてシグネチャファイルをダウンロードします。
3. SHA1 の値は後で使うのでコピーしておきます。

ファイルの整合性を確認

SHA1 と PGP により、ファイルの整合性をチェックします。Linux のインストールイメージをダウンロードしたときにやるいつもの作業ですね。

SHA1 によるファイルの整合性チェック

Manjaro のダウンロードは済みましたか？

「Downloads」フォルダに iso ファイルとシグネチャファイルは入ってますね？他のフォルダにダウンロードした場合は「Downloads」フォルダに移動しておいてください。後の作業が楽になります。

チェックサムファイルを作る

公式ダウンロードページでチェックサムファイルを配布していなかったので、今回は自分で作ります。

さあ、ダウンロード時にコピーしておいた SHA1値を使うときです。

テキストエディタで以下のような内容を記述し、Downloads フォルダに名前を付けて保存。ファイル名は「manjaro-sha1.txt」とでもしておきましょう。

c9673f079910406c8c567d5f3501f5bb4dd15f6b manjaro-kde-19.0.1-200228-linux54.iso

[SHA1値][空白][ファイル名] という書式です。

バージョンやエディションが変われば SHA1値もファイル名も変わりますのでそのあたりは適宜。

チェックサムファイルには改行で区切って複数記述することが出来ます。いくつものエディションをダウンロードしたときに便利です。

実際にチェックする

Downloads フォルダに iso ファイル、シグネチャファイル、チェックサムファイルの 3つが揃ってますね？

ではターミナルを開いて Downloads フォルダに移動しましょう。

$ cd ~/Downloads

いよいよ sha1sum コマンドを実行します。「-c」オプションで先ほど作成したチェックサムファイルを指定します。

$ sha1sum -c manjaro-sha1.txt

↓のように「OK」と表示されれば成功です。

manjaro-kde-19.0.1-200228-linux54.iso: OK

GPG による署名のチェック

↓ 公式 wiki の記事に沿って GPG による署名のチェックを行います。

How-to verify GPG key of official .ISO images - Manjaro Linux

事前に GPG と wget がインストールされているか確認しておいてください。無い場合はインストールしておいてください。

root フォルダに戻ります。

$ cd

1. GitHub から Manjaro 開発者の鍵を全てダウンロードする。

↓ のコマンドを実行します。

$ wget github.com/manjaro/packages-core/raw/master/manjaro-keyring/manjaro.gpg

イロイロ表示されますが、ビビらず待ちます。

最後に「'manjaro.gpg' へ保存完了」と表示されれば OK。

2. ダウンロードした鍵をインポートする。

↓ のコマンドを実行します。

$ gpg --import manjaro.gpg

イロイロ表示されますが、処理が終わるまで待ちます。

3. Philip Müller の GPG 鍵をインポートする。

↓ のコマンドを実行。

$ gpg --keyserver hkp://pool.sks-keyservers.net --search-keys 11C7F07E

しばらくすると ↓ のように表示されるので「1」を入力して Enter。

gpg: data source: http://202.46.182.22:11371
(1) Philip Müller (Called Little) <philm@manjaro.org>
 2048 bit RSA key CAA6A59611C7F07E, 作成: 2012-05-05
Keys 1-1 of 1 for "11C7F07E". 番号(s)、N)次、またはQ)中止を入力してください >

処理が終わるまで待ちます。

4. 署名をチェック

↓ のコマンドを実行します。

$ gpg --verify manjaro-kde-19.0.1-200228-linux54.iso.sig

↓ のように表示されます。

gpg: 署名されたデータが'manjaro-kde-19.0.1-200228-linux54.iso'にあると想定します
gpg: 2020年02月28日 19時58分01秒 JSTに施された署名
gpg: RSA鍵E4CDFE50A2DA85D58C8A8C70CAA6A59611C7F07Eを使用
gpg: 発行者"philm@manjaro.org"
gpg: "Philip Müller (Called Little) <philm@manjaro.org>"からの正しい署名 [不明の]
gpg: *警告*: この鍵は信用できる署名で証明されていません!
gpg: この署名が所有者のものかどうかの検証手段がありません。
主鍵フィンガープリント: E4CD FE50 A2DA 85D5 8C8A 8C70 CAA6 A596 11C7 F07E

何やら警告されてますが、「"Philip Müller (Called Little) philm@manjaro.org"からの正しい署名」と表示されているので大丈夫なのでしょう。GPG、ヨクワカラン😵

終わりに

お疲れ様でした。

ダウンロードした iso ファイルに破損も改竄もないことが SHA1 と GPG によって確認できました。安心してインストールすることが出来ます。

私が触れたことのある多くのディストリビューションで今回と同様、チェックサムと PGP による整合性チェックが推奨されています。

実は Manjaro をダウンロードする直前に Windows10 1909 もダウンロードしたんですよ。しかし、Windows には整合性をチェックする手段が見当たりませんでした。

改竄されてたらどーすんだ！

Windows マイナス 1 ポイント。

しかもインストール iso のファイルサイズ、5.4GB!!!

片面1層の DVD メディアに入り切らないじゃないか！

Windows さらにマイナス 1 ポイント。

いやぁ〜。ますます Windows 離れが捗りますな。

次回は Manjaro を VirtualBox にインストールします。

Manjaro 19.0.2 KDE エディションを VirtualBox にインストールしてみた - In my mind

訂正

本記事の「GPG による署名のチェック」で手順（1、2）と 3 の両方やりましたが、本来はどちらかでいいです。

つまり、GitHub の方をやったら Philip Müller はやらなくていい。逆に Philip Müller の方をやったら GitHub はやらなくていいです。