24Aug
Le mois dernier, le site Web de Linux Mint a été piraté, et une ISO modifiée a été mise en téléchargement, incluant une porte dérobée. Bien que le problème ait été corrigé rapidement, il démontre l'importance de vérifier les fichiers ISO Linux que vous téléchargez avant de les exécuter et de les installer. Voici comment. Les distributions Linux
publient des sommes de contrôle afin que vous puissiez confirmer que les fichiers que vous téléchargez sont conformes à ce qu'ils prétendent être. Ils sont souvent signés afin que vous puissiez vérifier que les sommes de contrôle elles-mêmes n'ont pas été altérées. Ceci est particulièrement utile si vous téléchargez un ISO depuis un autre endroit que le site principal, comme un miroir tiers, ou via BItTorrent, où il est beaucoup plus facile pour les utilisateurs de manipuler les fichiers.
Fonctionnement de ce processus
Le processus de vérification d'un ISO est un peu complexe, alors avant d'entrer dans les étapes exactes, expliquons exactement ce que le processus implique:
- Vous allez télécharger le fichier ISO Linux à partir du site Web de la distribution Linux - ouailleurs - comme d'habitude.
- Vous allez télécharger une somme de contrôle et sa signature numérique sur le site Web de la distribution Linux. Il peut s'agir de deux fichiers TXT distincts, ou vous pouvez obtenir un seul fichier TXT contenant les deux données.
- Vous obtiendrez une clé publique PGP appartenant à la distribution Linux. Vous pouvez l'obtenir à partir du site Web de la distribution Linux ou d'un serveur de clés séparé géré par les mêmes personnes, en fonction de votre distribution Linux.
- Vous utiliserez la clé PGP pour vérifier que la signature numérique de la somme de contrôle a été créée par la même personne qui a créé la clé, dans ce cas, les responsables de cette distribution Linux. Cela confirme que la somme de contrôle elle-même n'a pas été altérée.
- Vous générez la somme de contrôle de votre fichier ISO téléchargé, et vérifiez qu'il correspond au fichier TXT checksum que vous avez téléchargé.Cela confirme que le fichier ISO n'a pas été altéré ou corrompu.
Le processus peut différer un peu pour différentes ISO, mais il suit généralement ce modèle général. Par exemple, il existe plusieurs types de sommes de contrôle. Traditionnellement, les sommes MD5 ont été les plus populaires. Cependant, les sommes SHA-256 sont maintenant plus fréquemment utilisées par les distributions Linux modernes, car SHA-256 est plus résistant aux attaques théoriques. Nous discuterons principalement des sommes SHA-256 ici, même si un processus similaire fonctionnera pour les sommes MD5.Certaines distributions Linux peuvent également fournir des sommes SHA-1, même si celles-ci sont encore moins courantes.
De même, certaines distributions ne signent pas leurs sommes de contrôle avec PGP.Vous n'aurez qu'à effectuer les étapes 1, 2 et 5, mais le processus est beaucoup plus vulnérable. Après tout, si l'attaquant peut remplacer le fichier ISO pour le téléchargement, il peut également remplacer la somme de contrôle.
L'utilisation de PGP est beaucoup plus sûre, mais pas infaillible. L'attaquant pourrait toujours remplacer cette clé publique par la leur, il pourrait encore vous faire croire que l'ISO est légitime. Cependant, si la clé publique est hébergée sur un serveur différent - comme c'est le cas avec Linux Mint - cela devient beaucoup moins probable( puisqu'ils doivent pirater deux serveurs au lieu d'un seul).Mais si la clé publique est stockée sur le même serveur que l'ISO et la somme de contrôle, comme c'est le cas avec certaines distributions, alors elle n'offre pas autant de sécurité.
Encore, si vous essayez de vérifier la signature PGP sur un fichier de somme puis de valider votre téléchargement avec cette somme de contrôle, c'est tout ce que vous pouvez raisonnablement faire en tant qu'utilisateur final en téléchargeant une ISO Linux. Tu es toujours plus en sécurité que les gens qui ne te dérangent pas.
Comment vérifier une somme de contrôle sur Linux
Nous utiliserons Linux Mint comme exemple ici, mais vous devrez peut-être rechercher le site Web de votre distribution Linux pour trouver les options de vérification qu'il offre. Pour Linux Mint, deux fichiers sont fournis avec le téléchargement ISO sur ses miroirs de téléchargement. Téléchargez l'image ISO, puis téléchargez les fichiers "sha256sum.txt" et "sha256sum.txt.gpg" sur votre ordinateur. Cliquez-droit sur les fichiers et sélectionnez "Enregistrer le lien sous" pour les télécharger.
Sur votre bureau Linux, ouvrez une fenêtre de terminal et téléchargez la clé PGP.Dans ce cas, la clé PGP de Linux Mint est hébergée sur le serveur de clés d'Ubuntu et nous devons exécuter la commande suivante pour l'obtenir.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2Le site web de votre distribution Linux vous indiquera la clé dont vous avez besoin.
Nous avons maintenant tout ce dont nous avons besoin: l'ISO, le fichier de contrôle, le fichier de signature numérique de la somme de contrôle et la clé PGP.Ensuite, passez au dossier dans lequel ils ont été téléchargés. ..
cd ~ / Téléchargements. .. et exécutez la commande suivante pour vérifier la signature du fichier de contrôle:
gpg --verify sha256sum.txt.gpg sha256sum.txtSi la commande GPG vous indique que le fichier sha256sum.txt téléchargé a une "bonne signature", vous pouvez continuer. Dans la quatrième ligne de la capture d'écran ci-dessous, GPG nous informe qu'il s'agit d'une "bonne signature" qui prétend être associée à Clément Lefebvre, le créateur de Linux Mint.
Ne vous inquiétez pas que la clé ne soit pas certifiée avec une «signature sécurisée». Cela est dû au fonctionnement du cryptage PGP: vous n'avez pas créé de réseau de confiance en important des clés de personnes de confiance. Cette erreur sera très commune.
Enfin, maintenant que nous savons que la somme de contrôle a été créée par les mainteneurs Linux Mint, exécutez la commande suivante pour générer une somme de contrôle à partir du fichier. iso téléchargé et le comparer au fichier TXT checksum que vous avez téléchargé:
sha256sum --check sha256sum.txtVous verrez beaucoup de messages "pas de tel fichier ou répertoire" si vous avez seulement téléchargé un seul fichier ISO, mais vous devriez voir un message "OK" pour le fichier que vous avez téléchargé s'il correspond à la somme de contrôle.
Vous pouvez également exécuter les commandes checksum directement sur un fichier. iso. Il va examiner le fichier. iso et cracher sa somme de contrôle. Vous pouvez ensuite vérifier qu'il correspond à la somme de contrôle valide en regardant les deux avec vos yeux.
Par exemple, pour obtenir la somme SHA-256 d'un fichier ISO:
sha256sum /path/to/ fichier.isoOu, si vous avez une valeur md5sum et devez obtenir le md5sum d'un fichier:
md5sum /path/to/ fichier.isoComparer lerésultat avec le fichier TXT checksum pour voir si elles correspondent.
Comment vérifier une somme de contrôle sur Windows
Si vous téléchargez un ISO Linux à partir d'un ordinateur Windows, vous pouvez également vérifier la somme de contrôle à cet endroit, bien que Windows ne dispose pas du logiciel nécessaire. Donc, vous aurez besoin de télécharger et d'installer l'outil open source Gpg4win.
Recherchez les fichiers de clé de signature et les fichiers de contrôle de votre distribution Linux. Nous utiliserons Fedora comme exemple ici. Le site Web de Fedora fournit des téléchargements de checksum et nous dit que nous pouvons télécharger la clé de signature Fedora depuis https: //getfedora.org/static/ fedora.gpg.
Après avoir téléchargé ces fichiers, vous devrez installer la clé de signature en utilisant le programme Kleopatra inclus avec Gpg4win. Lancez Kleopatra et cliquez sur Fichier & gt;Importer des certificats. Sélectionnez le fichier. gpg que vous avez téléchargé.
Vous pouvez maintenant vérifier si le fichier de checksum téléchargé a été signé avec l'un des fichiers de clés que vous avez importés. Pour ce faire, cliquez sur Fichier & gt;Déchiffrer / vérifier les fichiers. Sélectionnez le fichier de contrôle téléchargé.Décochez l'option "Fichier d'entrée est une signature détachée" et cliquez sur "Déchiffrer / Vérifier".
Vous êtes sûr de voir un message d'erreur si vous le faites de cette façon, car vous n'avez pas eu la peine de confirmer ces Fedorales certificats sont réellement légitimes. C'est une tâche plus difficile. C'est ainsi que PGP est conçu pour fonctionner: vous rencontrez et échangez des clés en personne, par exemple, et vous créez un réseau de confiance. La plupart des gens ne l'utilisent pas de cette manière.
Toutefois, vous pouvez afficher plus de détails et confirmer que le fichier de somme de contrôle a été signé avec l'une des clés que vous avez importées. C'est beaucoup mieux que de simplement faire confiance à un fichier ISO téléchargé sans vérification, de toute façon.
Vous devriez maintenant pouvoir sélectionner Fichier & gt;Vérifiez les fichiers de contrôle et confirmez que les informations contenues dans le fichier de contrôle correspondent au fichier. iso téléchargé.Cependant, cela n'a pas fonctionné pour nous - c'est peut-être juste la façon dont le fichier de contrôle de Fedora est mis en place. Lorsque nous avons essayé cela avec le fichier sha256sum.txt de Linux Mint, cela a fonctionné.
Si cela ne fonctionne pas pour la distribution Linux de votre choix, voici une solution de contournement. D'abord, cliquez sur Paramètres & gt;Configurez Kleopatra. Sélectionnez "Opérations de chiffrement", sélectionnez "Opérations sur les fichiers" et paramétrez Kleopatra pour utiliser le programme de somme de contrôle "sha256sum", car c'est ce qui a généré cette somme de contrôle particulière. Si vous avez une somme de contrôle MD5, sélectionnez "md5sum" dans la liste ici.
Maintenant, cliquez sur Fichier & gt;Créez des fichiers de somme de contrôle et sélectionnez votre fichier ISO téléchargé.Kleopatra va générer une somme de contrôle à partir du fichier. iso téléchargé et l'enregistrer dans un nouveau fichier.
Vous pouvez ouvrir ces deux fichiers, le fichier de contrôle téléchargé et celui que vous venez de générer, dans un éditeur de texte tel que le Bloc-notes. Confirmez que la somme de contrôle est identique dans vos deux yeux. Si c'est identique, vous avez confirmé que votre fichier ISO téléchargé n'a pas été falsifié.
Ces méthodes de vérification n'étaient pas prévues à l'origine pour la protection contre les logiciels malveillants. Ils ont été conçus pour confirmer que votre fichier ISO a été téléchargé correctement et n'a pas été corrompu pendant le téléchargement, vous pouvez donc le graver et l'utiliser sans vous soucier. Ils ne sont pas une solution complètement infaillible, car vous devez faire confiance à la clé PGP que vous téléchargez. Cependant, cela fournit encore beaucoup plus d'assurance que de simplement utiliser un fichier ISO sans le vérifier du tout.
Crédit d'image: Eduardo Quagliato sur Flickr