Cum să verificați un sumar de verificare ISO al Linux și să confirmați că nu a fost confundat cu acesta
Luna trecută, site-ul Linux Mint a fost hacked, iar un ISO modificat a fost pus pentru descărcare care include o backdoor. În timp ce problema a fost rezolvată rapid, aceasta demonstrează importanța verificării fișierelor ISO Linux pe care le descărcați înainte de a le rula și de a le instala. Iată cum.
Distribuțiile Linux publică sumele de control pentru a confirma că fișierele pe care le descărcați sunt ceea ce pretind că sunt, iar acestea sunt adesea semnate astfel încât să puteți verifica dacă sumele de control nu au fost modificate. Acest lucru este util în special dacă descărcați un ISO de la alt loc decât cel principal, cum ar fi o oglindă terță parte sau prin BItTorrent, unde este mult mai ușor ca oamenii să manipuleze fișierele.
Cum funcționează acest proces
Procesul de verificare a unui ISO este un pic complex, deci înainte de a ajunge la pașii exacți, să explicăm exact ce implică procesul:
- Veți descărca fișierul Linux Linux de pe site-ul distribuției Linux - sau în altă parte - ca de obicei.
- Veți descărca o sumă de control și semnătura digitală de pe site-ul distribuției Linux. Acestea pot fi două fișiere separate TXT sau puteți obține un singur fișier TXT care conține ambele părți de date.
- Veți obține o cheie publică PGP care aparține distribuției Linux. Puteți obține acest lucru de pe site-ul web al distribuției Linux sau de pe un server cheie separat, gestionat de aceleași persoane, în funcție de distribuția dvs. Linux.
- Veți folosi cheia PGP pentru a verifica dacă semnătura digitală a contului de control a fost creată de aceeași persoană care a făcut cheia în acest caz, administratorii acelei distribuții Linux. Acest lucru confirmă faptul că suma de control în sine nu a fost modificată.
- Veți genera suma de control a fișierului ISO descărcat și verificați dacă acesta se potrivește cu fișierul TXT de verificare care a fost descărcat. Aceasta confirmă că fișierul ISO nu a fost modificat sau corupt.
Procesul poate diferi un pic pentru diferite ISO, dar de obicei rezultă acel model general. De exemplu, există mai multe tipuri diferite de sumele de control. În mod tradițional, sumele MD5 au fost cele mai populare. Cu toate acestea, sumele SHA-256 sunt acum utilizate mai frecvent de distribuțiile moderne de Linux, deoarece SHA-256 este mai rezistent la atacurile teoretice. Vom discuta în primul rând sumele SHA-256, deși un proces similar va funcționa pentru sumele MD5. Unele distribuții Linux pot oferi, de asemenea, sume SHA-1, deși acestea sunt chiar mai puțin frecvente.
În mod similar, unele distribuții nu își semnează sumele de control cu PGP. Va trebui doar să urmați pașii 1, 2 și 5, dar procesul este mult mai vulnerabil. La urma urmei, dacă atacatorul poate înlocui fișierul ISO pentru descărcare, poate înlocui și suma de control.
Folosirea PGP este mult mai sigură, dar nu rezistentă. Atacatorul ar putea în continuare să înlocuiască cheia publică cu propria lor, ar putea încă să vă smulgă să credeți că ISO este legitimă. Cu toate acestea, dacă cheia publică este găzduită pe un server diferit - cum este cazul cu Linux Mint - acest lucru devine mult mai puțin probabil (deoarece ar trebui să hack două servere în loc de unul singur). Dar dacă cheia publică este stocată pe același server ca și ISO și suma de control, așa cum este cazul cu unele distribuții, atunci nu oferă atât de multă securitate.
Cu toate acestea, dacă încercați să verificați semnătura PGP pe un fișier de sumă de verificare și apoi validând descărcarea cu acel sumă de verificare, tot ce puteți face în mod rezonabil ca utilizator finalizat care descarcă un standard ISO. Încă sunteți mult mai siguri decât oamenii care nu vă deranjează.
Cum se verifică un Checksum pe Linux
Vom folosi aici exemplul Linux Mint, dar ar putea fi necesar să căutați pe site-ul distribuției Linux pentru a găsi opțiunile de verificare pe care le oferă. Pentru Linux Mint, sunt furnizate două fișiere împreună cu descărcarea ISO pe oglinzile sale de descărcare. Descărcați fișierul ISO, apoi descărcați fișierele "sha256sum.txt" și "sha256sum.txt.gpg" pe computer. Faceți clic dreapta pe fișiere și selectați "Salvați linkul ca" pentru a le descărca.
În spațiul de lucru Linux, deschideți o fereastră terminal și descărcați cheia PGP. În acest caz, cheia PGP a Linux Mint este găzduită pe serverul cheie al Ubuntu și trebuie să executați următoarea comandă pentru ao obține.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2
Site-ul web al distroului dvs. Linux vă va îndruma către cheia de care aveți nevoie.
Avem acum tot ce avem nevoie: ISO, fișierul de sumă de verificare, fișierul de semnături digitale de control și cheia PGP. Deci, în continuare, treceți la dosarul în care au fost descărcate ...
cd ~ / Descărcări
... și executați următoarea comandă pentru a verifica semnătura fișierului de control:
gpg - verifica sha256sum.txt.gpg sha256sum.txt
Dacă comanda GPG vă permite să știți că fișierul sha256sum.txt descărcat are o "semnătură bună", puteți continua. În linia a patra a capturii de ecran de mai jos, GPG ne informează că aceasta este o "semnătură bună" care susține că este asociată cu Clement Lefebvre, creatorul Linux Mint.
Nu vă faceți griji că cheia nu este certificată cu o "semnătură de încredere". Acest lucru se datorează modului în care funcționează criptarea PGP - nu ați creat o rețea de încredere importând chei de la persoane de încredere. Această eroare va fi foarte frecventă.
În cele din urmă, acum că știm că suma de control a fost creată de către mentenerii liniei de mentenanță Linux, executați următoarea comandă pentru a genera o sumă de control din fișierul .iso descărcat și o comparați cu fișierul TXT de verificare pe care l-ați descărcat:
sha256sum --check sha256sum.txt
Veți vedea o mulțime de mesaje "nu există un astfel de fișier sau director" dacă descărcați doar un singur fișier ISO, dar ar trebui să vedeți un mesaj "OK" pentru fișierul descărcat dacă se potrivește cu suma de control.
De asemenea, puteți rula comenzile de control de control direct pe un fișier .iso. Va examina fișierul .iso și va scuipa suma de control. Apoi, puteți verifica dacă se potrivește cu suma de control validă, privindu-vă cu ochii.
De exemplu, pentru a obține suma SHA-256 a unui fișier ISO:
sha256sum /path/to/file.iso
Sau, dacă aveți o valoare md5sum și trebuie să obțineți md5sum unui fișier:
md5sum /path/to/file.iso
Comparați rezultatul cu fișierul TXT pentru suma de control pentru a vedea dacă se potrivesc.
Cum se verifică un sum de control pe Windows
Dacă descărcați un ISO Linux de la o mașină Windows, puteți verifica, de asemenea, suma de control acolo - deși Windows nu are software-ul necesar. Deci, va trebui să descărcați și să instalați instrumentul open source Gpg4win.
Localizați fișierele de chei pentru semnarea distribuției Linux și fișierele de control. Vom folosi Fedora ca exemplu aici. Site-ul Fedora oferă descărcări de sumă de control și ne spune că putem descărca cheia de semnare Fedora de la https://getfedora.org/static/fedora.gpg.
După ce ați descărcat aceste fișiere, va trebui să instalați cheia de semnare utilizând programul Kleopatra inclus în Gpg4win. Lansați Kleopatra și faceți clic pe File> Import Certificates. Selectați fișierul .gpg pe care l-ați descărcat.
Acum puteți verifica dacă fișierul cu sumă de control descărcat a fost semnat cu unul dintre fișierele cheie importate. Pentru a face acest lucru, faceți clic pe File> Decrypt / Verify Files. Selectați fișierul de sumă de verificare descărcat. Debifați opțiunea "Fișierul de intrare este o semnătură detașată" și dați clic pe "Deconectați / Verificați".
Sunteți sigur că veți vedea un mesaj de eroare dacă faceți acest lucru, deoarece nu ați trecut prin problemele de confirmare a faptului că certificatele Fedora sunt de fapt legitime. Aceasta este o sarcină mai dificilă. Acesta este modul în care PGP este proiectat să funcționeze - întâlniți și faceți schimb de chei în persoană, de exemplu, și puneți împreună o rețea de încredere. Majoritatea oamenilor nu o folosesc în acest fel.
Cu toate acestea, puteți să vizualizați mai multe detalii și să confirmați că fișierul de control a fost semnat cu una dintre cheile pe care le-ați importat. Acest lucru este mult mai bine decât încrederea într-un fișier ISO descărcat fără verificare, oricum.
Acum ar trebui să puteți selecta Fișier> Verificați fișierele de verificare și confirmați că informațiile din fișierul de control se potrivesc cu fișierul .iso descărcat. Cu toate acestea, acest lucru nu a funcționat pentru noi, poate că este doar modul în care fișierul de control al Fedora este întocmit. Când am încercat acest lucru cu fișierul sha256sum.txt al Linux Mint, a funcționat.
Dacă acest lucru nu funcționează pentru distribuția dvs. Linux, alegeți o soluție. Mai întâi, faceți clic pe Setări> Configurați Kleopatra. Selectați "Operațiuni Crypto", selectați "Operațiuni de fișiere" și setați Kleopatra să utilizeze programul de control "sha256sum", așa cum a fost generat cu acest sum de control special. Dacă aveți un cont de control MD5, selectați "md5sum" din listă aici.
Acum, faceți clic pe Fișier> Creați fișiere de verificare și selectați fișierul ISO descărcat. Kleopatra va genera o sumă de control din fișierul .iso descărcat și îl va salva într-un fișier nou.
Puteți deschide ambele fișiere - fișierul sumă de control descărcat și cel pe care tocmai l-ați generat - într-un editor de text precum Notepad. Confirmați că suma de control este identică atât cu ochii voștri. Dacă este identică, ați confirmat că fișierul ISO descărcat nu a fost modificat.
Aceste metode de verificare nu au fost inițial destinate protejării împotriva programelor malware. Acestea au fost proiectate pentru a confirma că fișierul dvs. ISO descărcat corect și nu a fost corupt în timpul descărcării, astfel încât să îl puteți arde și să-l utilizați fără să vă faceți griji. Nu sunt o soluție complet sigură, deoarece trebuie să aveți încredere în cheia PGP pe care o descărcați. Cu toate acestea, aceasta oferă încă mult mai multă siguranță decât folosirea unui fișier ISO fără a verifica deloc.
Credit de imagine: Eduardo Quagliato pe Flickr