Kako provjeriti kontrolnu sumu Linux ISO-a i potvrditi da nije oštećena
Prošlog mjeseca je Linux Mintova web stranica bila hakirana, a izmijenjeni ISO je stavljen na preuzimanje koji je uključivao backdoor. Iako je problem brzo riješen, pokazuje važnost provjere Linux ISO datoteka koje ste preuzeli prije pokretanja i instaliranja. Evo kako.
Linux distribucije objavljuju kontrolne zbrojeve tako da možete potvrditi da su datoteke koje preuzmete ono za što tvrde da su, a one su često potpisane tako da možete provjeriti da sami kontrolni zbrojevi nisu mijenjani. To je osobito korisno ako ISO preuzmete s nekog drugog mjesta, a ne na glavnoj web-lokaciji, poput zrcala treće strane ili putem BItTorrenta, gdje je ljudima mnogo lakše mijenjati datoteke.
Kako ovaj proces funkcionira
Proces provjere ISO je malo složen, pa prije nego što uđemo u točne korake, objasnimo točno što proces podrazumijeva:
- Preuzmite Linux ISO datoteku s web-mjesta distribucije Linuxa - ili negdje drugdje - kao i obično.
- S web-mjesta Linux distribucije preuzet ćete kontrolni zbroj i njegov digitalni potpis. To mogu biti dvije odvojene TXT datoteke ili možete dobiti jednu TXT datoteku koja sadrži oba dijela podataka.
- Dobit ćete javni PGP ključ koji pripada Linux distribuciji. To možete dobiti na web-mjestu Linux distribucije ili na posebnom poslužitelju ključeva kojim upravljaju isti ljudi, ovisno o vašoj Linux distribuciji.
- Koristit ćete PGP ključ kako biste provjerili je li digitalni potpis kontrolnog zbroja stvorio ista osoba koja je izradila ključ - u ovom slučaju, održavatelje te Linux distribucije. Time se potvrđuje da sam kontrolni zbroj nije mijenjan.
- Generirat ćete kontrolni zbroj preuzete ISO datoteke i provjeriti odgovara li preuzetoj TXT datoteci s čekom. Time se potvrđuje da ISO datoteka nije mijenjana ili oštećena.
Proces se može razlikovati za različite ISO-ove, ali obično slijedi taj opći obrazac. Na primjer, postoji nekoliko različitih vrsta kontrolnih zbrojeva. Tradicionalno, MD5 iznosi su bili najpopularniji. Međutim, sadašnje distribucije Linuxa češće koriste sume SHA-256, budući da je SHA-256 otporniji na teorijske napade. Ovdje ćemo prvenstveno razgovarati o sumama SHA-256, iako će sličan proces funkcionirati za MD5 sume. Neki Linux distrosi također mogu osigurati SHA-1 sume, iako su oni još rjeđi.
Slično tome, neki distrosi ne potpisuju svoje kontrolne zbrojeve s PGP-om. Potrebno je samo izvršiti korake 1, 2 i 5, ali proces je mnogo ranjiviji. Uostalom, ako napadač može zamijeniti ISO datoteku za preuzimanje, oni također mogu zamijeniti ček.
Upotreba PGP-a mnogo je sigurnija, ali ne i sigurna. Napadač bi još uvijek mogao zamijeniti taj javni ključ svojim vlastitim, još uvijek bi vas mogao prevariti da smatrate da je ISO legitiman. Međutim, ako je javni ključ hostiran na drugom poslužitelju - kao što je slučaj s Linux Mintom - to postaje daleko manje vjerojatno (budući da bi morali hakirati dva poslužitelja umjesto samo jednog). Ali ako je javni ključ pohranjen na istom poslužitelju kao ISO i kontrolni zbroj, kao što je slučaj s nekim distrosima, onda ne nudi toliko sigurnosti.
Ipak, ako pokušavate provjeriti PGP potpis na datoteci s kontrolnom sumom, a zatim potvrdite preuzimanje pomoću tog kontrolnog zbroja, to je sve što možete razumno učiniti kao krajnji korisnik koji preuzima Linux ISO. I dalje si mnogo sigurniji od ljudi koji se ne trude.
Kako provjeriti kontrolnu sumu na Linuxu
Kao primjer ovdje ćemo koristiti Linux Mint, ali možda ćete morati pretražiti web-lokaciju vaše Linux distribucije da biste pronašli opcije potvrde koje nudi. Za Linux Mint, dvije datoteke se dostavljaju zajedno s ISO preuzimanje na svojim download ogledala. Preuzmite ISO, a zatim na svoje računalo preuzmite datoteke "sha256sum.txt" i "sha256sum.txt.gpg". Desnom tipkom miša kliknite datoteke i odaberite "Spremi vezu kao" da biste ih preuzeli.
Na vašoj Linux radnoj površini otvorite prozor terminala i preuzmite PGP ključ. U ovom slučaju, Linux Mintov PGP ključ se nalazi na Ubuntuovom poslužitelju ključeva, a mi moramo pokrenuti sljedeću naredbu kako bismo ga dobili.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-tipke 0FF405B2
Web-lokacija vašeg Linux distroa će vas uputiti prema ključu koji vam je potreban.
Sada imamo sve što nam treba: ISO, datoteku kontrolnog zbroja, datoteku digitalnog potpisa kontrolnog zbroja i PGP ključ. Zato sljedeći put promijenite u mapu koju ste preuzeli u…
cd ~ / Preuzimanja
… I pokrenite sljedeću naredbu da biste provjerili potpis datoteke s kontrolnom sumom:
gpg --verify sha256sum.txt.gpg sha256sum.txt
Ako vam naredba GPG omogućuje da znate da preuzeta datoteka sha256sum.txt ima "dobar potpis", možete nastaviti. U četvrtom retku zaslona ispod, GPG nas obavještava da je to "dobar potpis" koji tvrdi da je povezan s Clementom Lefebvreom, tvorcem Linux Minta.
Ne brinite se da ključ nije certificiran s "pouzdanim potpisom". To je zbog načina na koji PGP enkripcija funkcionira - niste postavili mrežu povjerenja uvozom ključeva od pouzdanih osoba. Ta će pogreška biti vrlo česta.
Konačno, sada kada znamo da je kontrolni zbroj kreirao Linux Mint održavači, pokrenite sljedeću naredbu za generiranje kontrolnog zbroja iz preuzete .iso datoteke i usporedite je s TXT datotekom čekom koju ste preuzeli:
sha256sum - provjerite sha256sum.txt
Vidjet ćete mnogo poruka "bez takve datoteke ili direktorija" ako ste preuzeli samo jednu ISO datoteku, ali biste trebali vidjeti poruku "OK" za datoteku koju ste preuzeli ako se podudara s kontrolnom zbrojem.
Također možete pokrenuti naredbe checksum izravno na .iso datoteci. Pregledat će .iso datoteku i ispljunuti svoj kontrolni zbroj. Nakon toga možete samo provjeriti odgovara li važećem kontrolnom zbroju gledanjem u oba s očima.
Na primjer, da biste dobili sumu SHA-256 ISO datoteke:
sha256sum /path/to/file.iso
Ili, ako imate vrijednost md5sum i trebate dobiti md5sum datoteke:
md5sum /path/to/file.iso
Usporedite rezultat s TXT datotekom kontrolnog zbroja kako biste provjerili podudaraju li se.
Kako provjeriti kontrolnu sumu u sustavu Windows
Ako preuzimate Linux ISO s Windows stroja, možete provjeriti i kontrolni zbroj - iako Windows nema potreban ugrađeni softver. Dakle, morat ćete preuzeti i instalirati Gpg4win alat otvorenog koda.
Pronađite datoteku i datoteku za provjeru ključa za potpis vašeg Linux distroa. Kao primjer ovdje ćemo koristiti Fedoru. Fedorina web-lokacija nudi preuzimanja s kontrolnom sumom i govori nam da možemo preuzeti Fedora ključ za potpisivanje s https://getfedora.org/static/fedora.gpg.
Nakon što preuzmete te datoteke, morat ćete instalirati ključ za potpisivanje pomoću programa Kleopatra koji je uključen u Gpg4win. Pokrenite Kleopatra i kliknite Datoteka> Uvoz certifikata. Odaberite .gpg datoteku koju ste preuzeli.
Sada možete provjeriti je li preuzeta datoteka s kontrolnom sumom potpisana s jednom od ključnih datoteka koje ste uvezli. Da biste to učinili, kliknite Datoteka> Dešifriraj / Provjeri datoteke. Odaberite preuzetu datoteku kontrolnog zbira. Isključite opciju "Ulazna datoteka je izdvojeni potpis" i kliknite "Dešifriraj / Potvrdi".
Sigurno ćete vidjeti poruku o pogrešci ako to učinite na ovaj način, jer niste uspjeli potvrditi da su Fedora certifikati zapravo legitimni. To je teži zadatak. To je način na koji je PGP osmišljen da radi - susrećete i razmjenjujete ključeve osobno, na primjer, i sastavite mrežu povjerenja. Većina ljudi je ne koristi na ovaj način.
Međutim, možete vidjeti više pojedinosti i potvrditi da je datoteka za provjeru potpisana s jednim od tipki koje ste uvezli. To je mnogo bolje nego samo povjeriti preuzetu ISO datoteku bez provjere.
Sada biste trebali moći odabrati File> Verify Checksum Files i potvrditi da podaci u datoteci s kontrolnom sumom odgovaraju preuzetoj .iso datoteci. Međutim, to nam nije uspjelo - možda je to samo način na koji je Fedora postavljena datoteka. Kada smo to pokušali s datotekom sha256sum.txt za Linux Mint, uspjela je.
Ako to ne radi za vašu Linux distribuciju izbora, evo zaobilaznog rješenja. Najprije kliknite Postavke> Konfiguriraj Kleopatra. Odaberite "Crypto Operations", odaberite "File Operations" i postavite Kleopatra da koristi "sha256sum" program za provjeru, budući da je s tim generiranim kontrolnim zbrojem. Ako imate MD5 kontrolnu sumu, ovdje odaberite "md5sum" na popisu.
Sada kliknite Datoteka> Stvori datoteke provjere i odaberite preuzetu ISO datoteku. Kleopatra će generirati kontrolni zbroj iz preuzete .iso datoteke i spremiti je u novu datoteku.
Možete otvoriti obje datoteke - preuzetu datoteku kontrolnog zbira i onu koju ste upravo generirali - u uređivaču teksta kao što je Notepad. Potvrdite da je kontrolna suma identična u oba slučaja vlastitim očima. Ako je identičan, potvrdili ste da vaša preuzeta ISO datoteka nije mijenjana.
Ove metode provjere izvorno nisu bile namijenjene zaštiti od zlonamjernog softvera. Oni su dizajnirani kako bi potvrdili da je ISO datoteka ispravno preuzeta i da nije bila oštećena tijekom preuzimanja, tako da je možete snimati i koristiti bez brige. To nije potpuno sigurno rješenje, jer morate vjerovati PGP ključu koji preuzimate. Međutim, to još uvijek pruža mnogo više sigurnosti nego samo korištenje ISO datoteke bez ikakve provjere.
Zasluge za sliku: Eduardo Quagliato na Flickru