24Aug
Bulan lalu, situs Linux Mint diretas, dan ISO yang dimodifikasi disiapkan untuk download yang menyertakan backdoor. Sementara masalahnya diperbaiki dengan cepat, ini menunjukkan pentingnya memeriksa file ISO Linux yang Anda unduh sebelum menjalankan dan memasangnya. Begini caranya. Distribusi Linux
mempublikasikan checksum sehingga Anda dapat mengonfirmasi file yang Anda unduh apa yang mereka klaim, dan ini sering ditandatangani sehingga Anda dapat memverifikasi checksum sendiri yang tidak dirusak. Ini sangat berguna jika Anda mendownload ISO dari tempat lain selain situs utama-seperti cermin pihak ketiga, atau melalui BItTorrent, yang memudahkan orang untuk mengutak-atik file.
Bagaimana Proses Ini Bekerja
Proses pengecekan ISO agak rumit, jadi sebelum kita masuk ke langkah yang tepat, mari jelaskan apa yang dibutuhkan prosesnya:
- Anda akan mendownload file ISO Linux dari situs distribusi Linux-ataudi tempat lain-seperti biasa.
- Anda akan mendownload checksum dan tanda tangan digitalnya dari situs distribusi Linux. Ini mungkin dua file TXT terpisah, atau Anda mungkin mendapatkan file TXT tunggal yang berisi kedua lembar data.
- Anda akan mendapatkan kunci PGP publik yang termasuk dalam distribusi Linux. Anda bisa mendapatkan ini dari situs distribusi Linux atau server kunci terpisah yang dikelola oleh orang yang sama, tergantung pada distribusi Linux Anda.
- Anda akan menggunakan kunci PGP untuk memverifikasi bahwa tanda tangan digital checksum dibuat oleh orang yang sama yang membuat kunci - dalam kasus ini, pengelola distribusi Linux tersebut. Ini menegaskan checksum itu sendiri belum dirusak.
- Anda akan menghasilkan checksum dari file ISO yang telah didownload, dan memverifikasinya sesuai dengan file checksum TXT yang Anda download. Ini menegaskan file ISO belum dirusak atau rusak.
Prosesnya mungkin sedikit berbeda untuk ISO yang berbeda, namun biasanya mengikuti pola umum itu. Misalnya, ada beberapa jenis checksum yang berbeda. Secara tradisional, jumlah MD5 telah menjadi yang paling populer. Namun, jumlah SHA-256 sekarang lebih sering digunakan oleh distribusi Linux modern, karena SHA-256 lebih tahan terhadap serangan teoritis. Kami terutama akan membahas jumlah SHA-256 di sini, walaupun proses serupa akan bekerja untuk jumlah MD5.Beberapa distro Linux mungkin juga menyediakan jumlah SHA-1, meskipun ini bahkan kurang umum.
Demikian pula, beberapa distro tidak menandatangani checksum mereka dengan PGP.Anda hanya perlu melakukan langkah 1, 2, dan 5, namun prosesnya jauh lebih rentan. Toh, jika penyerang bisa mengganti file ISO untuk download mereka juga bisa mengganti checksum.
Menggunakan PGP jauh lebih aman, tapi tidak mudah. Penyerang masih bisa mengganti kunci publik itu dengan milik mereka sendiri, mereka masih bisa menipu Anda agar berpikir bahwa ISO itu legit. Namun, jika kunci publik di-host di server yang berbeda-seperti yang terjadi pada Linux Mint-ini menjadi jauh lebih kecil kemungkinannya( karena mereka harus meng-hack dua server, bukan hanya satu).Tetapi jika kunci publik disimpan di server yang sama seperti ISO dan checksum, seperti halnya beberapa distro, maka tidak menawarkan keamanan sebanyak itu. Namun, jika Anda mencoba untuk memverifikasi tanda tangan PGP pada file checksum dan kemudian memvalidasi unduhan Anda dengan checksum itu, itu saja yang bisa Anda lakukan sebagai pengguna akhir yang mendownload ISO Linux. Kamu masih jauh lebih aman dibanding orang yang tidak repot.
Cara Memeriksa Cek Pada Linux
Kami akan menggunakan Linux Mint sebagai contoh di sini, namun Anda mungkin perlu mencari situs distribusi Linux untuk menemukan opsi verifikasi yang ditawarkannya. Untuk Linux Mint, dua file disediakan bersamaan dengan unduhan ISO di mirror download-nya. Download ISO, lalu download file "sha256sum.txt" dan "sha256sum.txt.gpg" ke komputer Anda. Klik kanan file dan pilih "Save Link As" untuk mendownloadnya.
Pada desktop Linux Anda, buka jendela terminal dan download kunci PGP.Dalam kasus ini, kunci PGP Linux Mint di-host di server utama Ubuntu, dan kita harus menjalankan perintah berikut untuk mendapatkannya.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2Situs distro Linux Anda akan mengarahkan Anda ke kunci yang Anda butuhkan.
Kami sekarang memiliki semua yang kami butuhkan: ISO, file checksum, file tanda tangan digital checksum, dan kunci PGP.Jadi selanjutnya, ganti ke folder yang mereka download ke. ..
cd ~ / Downloads. .. dan jalankan perintah berikut untuk memeriksa tanda tangan file checksum:
gpg --verify sha256sum.txt.gpg sha256sum.txtJika perintah GPG memungkinkan Anda mengetahui bahwa file sha256sum.txt yang didownload memiliki "tanda tangan yang bagus", Anda dapat melanjutkan. Di baris keempat dari tangkapan layar di bawah, GPG memberi tahu kami bahwa ini adalah "tanda tangan yang bagus" yang mengklaim dikaitkan dengan Clement Lefebvre, pencipta Linux Mint.
Jangan khawatir kuncinya tidak disertifikasi dengan "tanda tangan tepercaya". Ini karena cara kerja enkripsi PGP-Anda belum menyiapkan kepercayaan dengan mengimpor kunci dari orang-orang tepercaya. Kesalahan ini akan sangat umum.
Terakhir, sekarang kita mengetahui bahwa checksum dibuat oleh pengelola Linux Mint, jalankan perintah berikut untuk menghasilkan checksum dari file iso yang didownload. Bandingkan dengan file TXT checksum yang Anda unduh:
sha256sum --check sha256sum.txtAnda akan melihat banyak pesan "tidak ada file atau direktori" seperti itu jika Anda hanya mendownload satu file ISO saja, namun Anda harus melihat pesan "OK" untuk file yang Anda unduh jika cocok dengan checksum.
Anda juga dapat menjalankan perintah checksum secara langsung pada file. iso. Ini akan memeriksa file. iso dan meludahkan checksumnya. Anda kemudian bisa mengeceknya sesuai dengan checksum yang valid dengan melihat keduanya dengan mata Anda.
Sebagai contoh, untuk mendapatkan jumlah SHA-256 dari file ISO:
sha256sum /path/to/ file.isoAtau, jika Anda memiliki nilai md5sum dan perlu mendapatkan md5sum dari sebuah file:
md5sum /path/to/ file.isoBandingkan denganHasilnya dengan file TXT checksum untuk melihat apakah cocok.
Cara Memverifikasi Cek pada Windows
Jika Anda mendownload ISO Linux dari mesin Windows, Anda juga dapat memverifikasi checksum di sana-meskipun Windows tidak memiliki perangkat lunak yang diperlukan. Jadi, Anda perlu mendownload dan menginstal alat open source Gpg4win.
Temukan file kunci dan file checksum distro Linux Anda. Kita akan menggunakan Fedora sebagai contoh di sini. Situs web Fedora menyediakan unduhan checksum dan memberi tahu kami bahwa kami dapat mendownload kunci penandatanganan Fedora dari https: //getfedora.org/static/ fedora.gpg.
Setelah mendownload file-file ini, Anda harus menginstal tombol penandatangan menggunakan program Kleopatra yang disertakan dengan Gpg4win. Luncurkan Kleopatra, dan klik File & gt;Sertifikat Impor. Pilih file. gpg yang Anda download.
Sekarang Anda dapat memeriksa apakah file checksum yang didownload telah ditandatangani dengan salah satu file utama yang Anda impor. Untuk melakukannya, klik File & gt;Decrypt / Verify Files. Pilih file checksum yang didownload. Hapus tanda centang pada "Input file adalah tanda tangan terpisah" pilihan dan klik "Decrypt / Verify."
Anda yakin untuk melihat pesan kesalahan jika Anda melakukannya dengan cara ini, karena Anda belum mengalami kesulitan untuk mengkonfirmasikan Fedora tersebutsertifikat sebenarnya sahItu tugas yang lebih sulit. Beginilah cara PGP dirancang untuk bekerja-Anda bertemu dan bertukar kunci secara langsung, misalnya, dan mengumpulkan sebuah jaringan kepercayaan. Kebanyakan orang tidak menggunakannya dengan cara ini.
Namun, Anda dapat melihat rincian lebih lanjut dan memastikan bahwa file checksum telah ditandatangani dengan salah satu kunci yang Anda impor. Ini jauh lebih baik daripada hanya mempercayai file ISO yang telah didownload tanpa harus memeriksa.
Anda seharusnya bisa memilih File & gt;Verifikasi File Checksum dan konfirmasikan informasi di file checksum sesuai dengan file. iso yang telah didownload. Namun, ini tidak bekerja untuk kita-mungkin hanya dengan cara file checksum Fedora ditata. Ketika kami mencoba ini dengan file sha256sum.txt Linux Mint, itu berhasil.
Jika ini tidak sesuai dengan distribusi pilihan Linux Anda, inilah solusinya. Pertama, klik Settings & gt;Konfigurasikan Kleopatra. Pilih "Operasi Kripto", pilih "Operasi Berkas", dan tentukan Kleopatra untuk menggunakan program checksum "sha256sum", karena itulah yang dihasilkan oleh checksum ini. Jika Anda memiliki checksum MD5, pilih "md5sum" di daftar di sini.
Sekarang, klik File & gt;Buat File Checksum dan pilih file ISO yang telah didownload. Kleopatra akan menghasilkan checksum dari file. iso yang telah didownload dan menyimpannya ke file baru.
Anda dapat membuka kedua file ini - file checksum yang didownload dan file yang baru saja Anda buat - di editor teks seperti Notepad. Konfirmasikan checksum identik sama-sama dengan matamu sendiri. Jika identik, Anda telah mengonfirmasi file ISO yang telah didownload belum dirusak.
Metode verifikasi ini awalnya tidak dimaksudkan untuk melindungi dari malware. Mereka dirancang untuk memastikan bahwa file ISO Anda diunduh dengan benar dan tidak rusak selama unduhan, sehingga Anda dapat membakarnya dan menggunakannya tanpa perlu khawatir. Ini bukan solusi yang sangat mudah, karena Anda harus mempercayai kunci PGP yang Anda unduh. Namun, ini masih memberikan kepastian lebih dari sekedar menggunakan file ISO tanpa mengecek sama sekali.
Image Credit: Eduardo Quagliato di Flickr