问题：

从清华镜像网站下载的ISO文件安全吗，有没有后门什么的，我从网上搜了这个问题，没有特别明确的答案

Via [我叫浪拾捌](tg://user?id=5838318183)

---

网友解答：

LinYun.Cloud: 严格来说你下的任何东西都不可信，对吧

LinYun.Cloud: 这取决于你相信什么

LinYun.Cloud: 你希望别人告诉你一个绝对的答案，用充足的证据告诉你，是的，这里巨安全。但是你已经尝试过了，查不到

LinYun.Cloud: 既然想去用，那就相信他

lg6u0K: 这也是一个好问题，，不亚于iPhone降级。
你用一次不就知道了，找个网吧

LinYun.Cloud: 你不是什么史诗级大人物，你也不是什么顶级黑客天天干坏事，别焦虑了

LinYun.Cloud: 想到了

如果你需要在意这个东西的安全了，你也不会从这里下载了

啥玩意啊 咋回事啊🇺🇦: 那么这里的人会不会骗你呢？ 为什么觉得这里的沙雕网友更可信？

Adolph: 那就比对md5

X: 你是个人才，你都在这里了，应该没有网路方面的问题。既然怀疑有问题，那不用就完了。

最近提问质量太差了

LinYun.Cloud: 提问的人少了，筛选不出高质量的了（哭

ㅤ: 理解这些怎么都不懂的小白吧

Rockchip: 能否临时豁免点💩权限（

GZCMUNKH: ①找到发行者的签名KEY,多数情况下是GPG公钥,导入它,注意GPG公钥的指纹和发行者公开得指纹是否一致,如果一致才能开始下一步

②找到ISO的HASH文件,利用GPG公钥验证这个HASH文件是否合法,如果合法才能开始下一步

③下载好ISO,将ISO及其HASH文件匹配后再校验,会报告校验结果

GZCMUNKH: 当然其中很多细节我就不说了,你自己谷歌补全

GZCMUNKH: 当然这个验证环节也有问题,我就不细说了,这个问题太大了

但是“信任”这个概念,追根溯源必须要有一个“根”,而且这个“根”你绝对控制不了

所以,这套验证流程是当前技术和成本综合考量下的最优解了

Dapao: 你小子是不是被通缉了已经这么怕干啥，