Bagaimana Mengesahkan Pemeriksaan Linux ISO dan Mengesahkan Ia Tidak Telah Dihentikan Dengan

Bulan lalu, laman web Linux Mint telah diretas, dan ISO yang diubahsuai telah dipasang untuk muat turun yang termasuk pintu belakang. Walaupun masalah itu ditetapkan dengan cepat, ia menunjukkan kepentingan memeriksa fail ISO ISO yang anda muat sebelum menjalankan dan memasangnya. Ini caranya.

Pengagihan Linux menerbitkan pemeriksaan supaya anda boleh mengesahkan fail yang anda muat turun adalah apa yang mereka katakan, dan ini sering ditandatangani supaya anda boleh mengesahkan cek itu sendiri tidak diganggu. Ini amat berguna jika anda memuat turun ISO dari suatu tempat selain tapak utama-seperti cermin pihak ketiga, atau melalui BItTorrent, di mana ia lebih mudah bagi orang untuk merosakkan fail.

Bagaimana Proses ini berfungsi

Proses pemeriksaan ISO agak kompleks, jadi sebelum kita masuk ke langkah-langkah yang tepat, mari kita jelaskan apa proses yang diperlukan:

1. Anda akan memuat turun fail ISO Linux dari laman web pengedaran Linux-atau di tempat lain-seperti biasa.
2. Anda akan memuat turun cek dan tandatangan digital dari laman web pengedaran Linux. Ini mungkin dua fail TXT yang berasingan, atau anda boleh mendapatkan satu fail TXT yang mengandungi kedua-dua keping data.
3. Anda akan mendapat kunci PGP awam milik pengedaran Linux. Anda boleh mendapatkannya dari laman web pengedaran Linux atau pelayan utama berasingan yang diuruskan oleh orang yang sama, bergantung pada pengedaran Linux anda.
4. Anda akan menggunakan kunci PGP untuk mengesahkan bahawa tandatangan digital checksum dibuat oleh orang yang sama yang membuat kunci dalam kes ini, penyelenggara pengedaran Linux itu. Ini mengesahkan checksum itu sendiri tidak diganggu.
5. Anda akan menghasilkan pemeriksaan fail ISO anda yang dimuat turun dan mengesahkan ia sepadan dengan fail TXT checksum yang anda muat turun. Ini mengesahkan fail ISO tidak diganggu atau rosak.

Proses ini mungkin berbeza sedikit untuk ISO yang berlainan, tetapi biasanya mengikuti corak umum. Sebagai contoh, terdapat beberapa jenis pemeriksaan yang berbeza. Secara tradisional, jumlah MD5 telah menjadi yang paling popular. Walau bagaimanapun, jumlah SHA-256 kini lebih kerap digunakan oleh pengedaran Linux moden, kerana SHA-256 lebih tahan terhadap serangan teori. Kami akan membincangkan terutamanya jumlah SHA-256 di sini, walaupun proses yang sama akan berfungsi untuk jumlah MD5. Sesetengah distro Linux juga boleh memberikan jumlah SHA-1, walaupun ini kurang biasa.

Begitu juga, beberapa distros tidak menandatangani cek mereka dengan PGP. Anda hanya perlu melakukan langkah 1, 2, dan 5, tetapi prosesnya lebih terdedah. Lagipun, jika penyerang boleh menggantikan fail ISO untuk muat turun, mereka juga boleh menggantikan checksum.

Menggunakan PGP adalah jauh lebih selamat, tetapi tidak boleh dipercayai. Penyerang masih boleh menggantikan kunci awam dengan mereka sendiri, mereka masih boleh menipu anda memikirkan ISO adalah legit. Walau bagaimanapun, jika kunci awam dihoskan pada pelayan yang berbeza-seperti mana yang berlaku dengan Linux Mint-ini menjadi jauh lebih kecil (kerana mereka perlu menggodam dua pelayan bukan hanya satu). Tetapi jika kunci awam disimpan pada pelayan yang sama seperti ISO dan checksum, seperti halnya dengan beberapa distro, maka ia tidak menawarkan banyak keselamatan.

Walau bagaimanapun, jika anda cuba mengesahkan tandatangan PGP pada fail pemeriksaan dan kemudian mengesahkan muat turun anda dengan checksum itu, itu sahaja yang boleh anda lakukan secara munasabah sebagai pengguna akhir memuat turun ISO Linux. Anda masih lebih selamat daripada orang-orang yang tidak peduli.

Cara Mengesahkan Pemeriksaan di Linux

Kami akan menggunakan Linux Mint sebagai contoh di sini, tetapi anda mungkin perlu mencari laman web pengedaran Linux anda untuk mencari pilihan pengesahan yang ditawarkannya. Untuk Linux Mint, dua fail disediakan bersama muat turun ISO pada cermin muat turunnya. Muat turun ISO, dan kemudian muat turun fail "sha256sum.txt" dan "sha256sum.txt.gpg" ke komputer anda. Klik kanan pada fail dan pilih "Save Link As" untuk memuat turunnya.

Pada desktop Linux anda, buka tetingkap terminal dan muat turun kunci PGP. Dalam kes ini, kunci Linux Mint PGP dihoskan pada pelayan utama Ubuntu, dan kami mesti menjalankan arahan berikut untuk mendapatkannya.

gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

Laman web distro Linux anda akan menunjukkan anda ke arah kunci yang anda perlukan.

Kami kini mempunyai segala yang kami perlukan: ISO, fail cek, fail tandatangan digital checksum, dan kunci PGP. Jadi seterusnya, tukar ke folder yang dimuat turun ke ...

cd ~ / Unduhan

... dan jalankan arahan berikut untuk memeriksa tandatangan fail pemeriksaan:

gpg --verify sha256sum.txt.gpg sha256sum.txt

Jika arahan GPG membolehkan anda mengetahui bahawa fail sha256sum.txt yang dimuat turun mempunyai "tandatangan yang baik", anda boleh meneruskan. Di baris keempat tangkapan skrin di bawah, GPG memberitahu kami bahawa ini adalah "tandatangan yang baik" yang mendakwa dikaitkan dengan Clement Lefebvre, pencipta Linux Mint.

Jangan risau bahawa kunci tidak diperakui dengan "tandatangan yang dipercayai." Ini kerana cara kerja penyulitan PGP-anda tidak menubuhkan sebuah web kepercayaan dengan mengimport kunci daripada orang yang dipercayai. Kesalahan ini akan menjadi sangat biasa.

Akhir sekali, sekarang kita tahu checksum telah dicipta oleh penyelenggara Linux Mint, jalankan perintah berikut untuk menghasilkan checksum dari fail .iso yang dimuat turun dan bandingkannya dengan fail TXT checksum yang anda muat turun:

sha256sum --check sha256sum.txt

Anda akan melihat banyak "tidak ada fail atau direktori" mesej jika anda hanya memuat turun fail ISO tunggal, tetapi anda harus melihat mesej "OK" untuk fail yang anda muat turun jika ia sepadan dengan checksum.

Anda juga boleh menjalankan arahan checksum secara langsung pada fail .iso. Ia akan memeriksa fail .iso dan meludahkan pemeriksaannya. Anda kemudiannya boleh menyemak sama dengan checksum yang sah dengan melihat kedua-dua mata anda.

Sebagai contoh, untuk mendapatkan jumlah SHA-256 fail ISO:

sha256sum /path/to/file.iso

Atau, jika anda mempunyai nilai md5sum dan perlu mendapatkan md5sum fail:

md5sum /path/to/file.iso

Bandingkan hasilnya dengan fail TXT checksum untuk melihat jika mereka sepadan.

Cara Mengesahkan Pemeriksaan di Windows

Jika anda memuat turun ISO Linux dari mesin Windows, anda juga boleh mengesahkan checksum di sana-walaupun Windows tidak mempunyai perisian yang terbina dalam. Oleh itu, anda perlu memuat turun dan memasang alat Gpg4win sumber terbuka.

Cari fail penyenaraian Linux distro anda dan fail checksum. Kami akan menggunakan Fedora sebagai contoh di sini. Laman web Fedora menyediakan muat turun cek dan memberitahu kami kami boleh memuat turun kunci tandatangan Fedora dari https://getfedora.org/static/fedora.gpg.

Selepas anda memuat turun fail ini, anda perlu memasang kunci tandatangan menggunakan program Kleopatra yang disertakan dengan Gpg4win. Lancarkan Kleopatra, dan klik Fail> Sijil Import. Pilih fail gg yang anda muat turun.

Anda kini boleh menyemak sama ada fail pemeriksaan muat turun telah ditandatangani dengan salah satu fail utama yang anda import. Untuk melakukannya, klik Fail> Decrypt / Verify Files. Pilih fail pemeriksaan yang dimuat turun. Nyahtanda tanda "Fail input adalah tandatangan berasingan" dan klik "Decrypt / Verify."

Anda pasti melihat mesej ralat jika anda melakukannya dengan cara ini, kerana anda tidak mengalami masalah mengesahkan sijil Fedora yang sebenarnya adalah sah. Itulah tugas yang lebih sukar. Inilah cara PGP direka bentuk untuk berfungsi-anda bertemu dan bertukar kunci secara peribadi, contohnya, dan menyatukan bersama kepercayaan. Kebanyakan orang tidak menggunakannya dengan cara ini.

Walau bagaimanapun, anda boleh melihat lebih banyak butiran dan mengesahkan bahawa fail pemeriksaan telah ditandatangani dengan salah satu kunci yang anda import. Ini jauh lebih baik daripada hanya mempercayai fail ISO yang dimuat turun tanpa memeriksa.

Anda kini boleh memilih File> Verify Checksum Files dan sahkan maklumat dalam fail checksum yang sepadan dengan fail .iso yang dimuat turun. Walau bagaimanapun, ini tidak berfungsi untuk kita-mungkin ia seperti yang dinyatakan oleh fail pemeriksaan Fedora. Apabila kami mencuba ini dengan fail sha256sum.txt Linux Mint, ia berfungsi.

Jika ini tidak berfungsi untuk pilihan pengedaran Linux anda, inilah jalan penyelesaiannya. Pertama, klik Tetapan> Konfigurasi Kleopatra. Pilih "Operasi Crypto," pilih "Operasi Fail", dan tetapkan Kleopatra untuk menggunakan program checksum "sha256sum", kerana itulah yang dilakukan oleh pemeriksaan khusus ini. Jika anda mempunyai pemeriksaan MD5, pilih "md5sum" dalam senarai di sini.

Kini, klik Fail> Buat Fail Checksum dan pilih fail ISO yang dimuat turun. Kleopatra akan menghasilkan pemeriksaan dari fail .iso yang dimuat turun dan simpannya ke fail baru.

Anda boleh membuka kedua-dua fail ini-fail pemeriksaan yang dimuat turun dan yang baru anda buat dalam editor teks seperti Notepad. Sahkan checksum adalah serupa dengan kedua mata anda sendiri. Sekiranya ia sama, anda telah mengesahkan fail ISO yang dimuat turun anda tidak diganggu.

Kaedah pengesahan ini tidak pada mulanya bertujuan untuk melindungi terhadap perisian hasad. Mereka direka untuk mengesahkan bahawa fail ISO anda dimuat turun dengan betul dan tidak rosak semasa muat turun, supaya anda boleh membakar dan menggunakannya tanpa perlu risau. Mereka bukan penyelesaian yang benar-benar lemah, kerana anda perlu mempercayai kunci PGP yang anda muat turun. Walau bagaimanapun, ini masih memberikan jaminan lebih daripada sekadar menggunakan fail ISO tanpa memeriksa sama sekali.

Kredit Imej: Eduardo Quagliato di Flickr