24Aug

Como verificar um checksum ISO do Linux e confirmar que não foi manipulado com

No mês passado, o site da Linux Mint foi pirateado e um ISO modificado foi colocado para download que incluiu um backdoor. Embora o problema tenha sido corrigido rapidamente, demonstra a importância de verificar os arquivos ISO do Linux que você baixou antes de executá-los e instalá-los. Veja como.

As distribuições Linux publicam somas de verificação para que você possa confirmar que os arquivos que você baixou são o que eles afirmam serem, e estes são frequentemente assinados para que você possa verificar se as verificações não foram adulteradas. Isso é particularmente útil se você baixar um ISO de algum lugar diferente do site principal - como um espelho de terceiros, ou através do BItTorrent, onde é muito mais fácil para as pessoas manipular arquivos.

Como funciona este processo

O processo de verificação de um ISO é um pouco complexo, então, antes de entrar nos passos exatos, vamos explicar exatamente o que o processo implica:

  1. Você baixará o arquivo ISO do Linux no site da distribuição Linux ouem outro lugar - como de costume.
  2. Você baixará uma soma de verificação e sua assinatura digital no site da distribuição Linux. Estes podem ser dois arquivos TXT separados, ou você pode obter um único arquivo TXT contendo ambos os pedaços de dados.
  3. Você obterá uma chave PGP pública pertencente à distribuição Linux. Você pode obter isso no site da distribuição Linux ou em um servidor de chaves separado gerenciado pelas mesmas pessoas, dependendo da sua distribuição Linux.
  4. Você usará a chave PGP para verificar se a assinatura digital da soma de verificação foi criada pela mesma pessoa que fez a chave neste caso, os mantenedores dessa distribuição do Linux. Isso confirma que a soma de verificação não foi adulterada.
  5. Você gerará a soma de verificação do seu arquivo ISO baixado e verificará que ele corresponde ao arquivo TXT de soma de verificação que você baixou. Isso confirma que o arquivo ISO não foi adulterado ou corrompido.

O processo pode diferir um pouco para ISOs diferentes, mas geralmente segue esse padrão geral. Por exemplo, existem vários tipos diferentes de checksums. Tradicionalmente, as somas MD5 foram as mais populares. No entanto, as somas SHA-256 são agora mais usadas pelas distribuições modernas do Linux, pois o SHA-256 é mais resistente aos ataques teóricos. Nós discutiremos principalmente somas SHA-256 aqui, embora um processo semelhante funcione para somas de MD5.Algumas distros Linux também podem fornecer somas SHA-1, embora estas sejam ainda menos comuns.

Da mesma forma, algumas distros não assinam suas somas de verificação com PGP.Você só precisará executar as etapas 1, 2 e 5, mas o processo é muito mais vulnerável. Afinal, se o invasor pode substituir o arquivo ISO para download, eles também podem substituir o checksum.

O uso do PGP é muito mais seguro, mas não infalível. O atacante ainda pode substituir essa chave pública por sua própria conta, eles ainda podem enganá-lo a pensar que o ISO é legítimo. No entanto, se a chave pública estiver hospedada em um servidor diferente - como é o caso do Linux Mint - isso torna-se muito menos provável( uma vez que eles teriam que cortar dois servidores em vez de apenas um).Mas se a chave pública é armazenada no mesmo servidor que o ISO e checksum, como é o caso de algumas distros, não oferece tanta segurança.

Ainda assim, se você estiver tentando verificar a assinatura do PGP em um arquivo de soma de verificação e depois validar seu download com essa soma de verificação, é tudo o que você pode razoavelmente fazer como usuário final, baixando um ISO Linux. Você ainda é muito mais seguro do que as pessoas que não incomodam.

Como verificar um Checksum no Linux

Usaremos o Linux Mint como exemplo aqui, mas talvez seja necessário pesquisar o site da distribuição Linux para encontrar as opções de verificação que ele oferece. Para Linux Mint, dois arquivos são fornecidos juntamente com o download ISO em seus espelhos de download. Baixe o ISO e, em seguida, baixe os arquivos "sha256sum.txt" e "sha256sum.txt.gpg" para o seu computador. Clique com o botão direito do mouse nos arquivos e selecione "Salvar link como" para baixá-los.

Na sua área de trabalho Linux, abra uma janela de terminal e baixe a chave PGP.Nesse caso, a chave PGP do Linux Mint é hospedada no servidor-chave do Ubuntu e devemos executar o seguinte comando para obtê-lo.

gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

O site do Linux distro irá apontar você para a chave que você precisa.

Agora temos tudo o que precisamos: o ISO, o arquivo de soma de verificação, o arquivo de assinatura digital da soma de verificação e a chave PGP.Então, em seguida, mude para a pasta que eles foram baixados para. ..

cd ~ / Downloads

. .. e execute o seguinte comando para verificar a assinatura do arquivo de soma de verificação:

gpg --verify sha256sum.txt.gpg sha256sum.txt

Se o comando GPG lhe permite saber que o arquivo sha256sum.txt baixado possui uma "boa assinatura", você pode continuar. Na quarta linha da captura de tela abaixo, a GPG nos informa que esta é uma "boa assinatura" que afirma estar associada a Clement Lefebvre, criador da Mint Linux.

Não se preocupe de que a chave não esteja certificada com uma "assinatura confiável". Isso é devido à forma como a criptografia PGP funciona; você não configurou uma rede de confiança ao importar chaves de pessoas confiáveis. Este erro será muito comum.

Por fim, agora que sabemos que a soma de verificação foi criada pelos mantenedores da Minuta do Linux, execute o seguinte comando para gerar uma soma de verificação a partir do arquivo. iso baixado e compare-o ao arquivo TXT de verificação que você baixou:

sha256sum - cheque sha256sum.txt

Você verá muitas mensagens "sem arquivo ou diretório" se você só baixou um único arquivo ISO, mas você deve ver uma mensagem "OK" para o arquivo que você baixou se corresponder à soma de verificação.

Você também pode executar os comandos checksum diretamente em um arquivo. iso. Ele examinará o arquivo. iso e cuspiu sua soma de verificação. Você pode então verificar que corresponde ao checksum válido, olhando para ambos com seus olhos.

Por exemplo, para obter a soma SHA-256 de um arquivo ISO:

sha256sum /path/to/ file.iso

Ou, se você possui um valor md5sum e precisa obter o md5sum de um arquivo:

md5sum /path/to/ file.iso

Compare oresultado com o arquivo TXT de checksum para ver se eles combinam.

Como verificar um soma de verificação no Windows

Se você estiver baixando um Linux ISO de uma máquina Windows, você também pode verificar a soma de verificação, embora o Windows não tenha o software necessário incorporado. Então, você precisará baixar e instalar a ferramenta Gpg4win de código aberto.

Localize os arquivos da chave de assinatura do seu Linux distro e os arquivos de soma de verificação. Usaremos o Fedora como exemplo aqui. O site da Fedora fornece downloads de soma de verificação e nos diz que podemos baixar a chave de assinatura do Fedora em https: //getfedora.org/static/ fedora.gpg.

Depois de baixar esses arquivos, você precisará instalar a chave de assinatura usando o programa Kleopatra incluído com o Gpg4win. Inicie Kleopatra e clique em Arquivo & gt;Certificados de importação. Selecione o arquivo. gpg que você baixou.

Agora você pode verificar se o arquivo de soma de verificação baixado foi assinado com um dos principais arquivos que você importou. Para fazer isso, clique em Arquivo & gt;Decrypt / Verify Files. Selecione o arquivo de soma de verificação baixado. Desmarque a opção "Arquivo de entrada é uma assinatura destacada" e clique em "Descifrar / Verificar."

Você tem certeza de ver uma mensagem de erro se você fizer isso desta forma, pois você não passou pelo problema de confirmar o Fedoraos certificados são legítimos. Essa é uma tarefa mais difícil. Esta é a maneira como o PGP é projetado para funcionar - você se encontra e trocar chaves pessoalmente, por exemplo, e juntar uma rede de confiança. A maioria das pessoas não o usa dessa maneira.

No entanto, você pode ver mais detalhes e confirmar que o arquivo de soma de verificação foi assinado com uma das chaves que você importou. Isso é muito melhor do que apenas confiar em um arquivo ISO baixado sem verificar, de qualquer maneira.

Agora você deve selecionar File & gt;Verifique os arquivos do Checksum e confirme as informações no arquivo de soma de verificação que correspondem ao arquivo. iso baixado. No entanto, isso não funcionou para nós - talvez seja apenas a forma como o arquivo de soma de verificação do Fedora é apresentado. Quando tentamos isso com o arquivo sha256sum.txt do Linux Mint, ele funcionou.

Se isso não funcionar para a distribuição de Linux de sua escolha, aqui está uma solução alternativa. Primeiro, clique em Configurações & gt;Configure Kleopatra. Selecione "Operações de criptografia", selecione "Operações de arquivo" e configure o Kleopatra para usar o programa de soma de verificação "sha256sum", pois isso foi o que essa soma de verificação específica foi gerada. Se você tiver uma soma de verificação MD5, selecione "md5sum" na lista aqui.

Agora, clique em Arquivo & gt;Crie arquivos Checksum e selecione o arquivo ISO baixado. Kleopatra irá gerar uma soma de verificação do arquivo. iso baixado e salvá-lo em um novo arquivo.

Você pode abrir esses dois arquivos - o arquivo de soma de verificação baixado e o que você acabou de gerar - em um editor de texto como o Bloco de notas. Confirme que a soma de verificação é idêntica tanto em seus próprios olhos. Se for idêntico, você confirmou que seu arquivo ISO baixado não foi adulterado.

Estes métodos de verificação não foram originalmente destinados a proteger contra malwares. Eles foram projetados para confirmar que seu arquivo ISO foi baixado corretamente e não foi corrompido durante o download, para que você possa queimar e usá-lo sem se preocupar. Eles não são uma solução completamente impertérmica, pois você precisa confiar na chave PGP que você baixar. No entanto, isso ainda oferece muito mais segurança do que simplesmente usar um arquivo ISO sem verificá-lo. Crédito da imagem

: Eduardo Quagliato no Flickr