Πώς να επαληθεύσετε ένα Checksum Linux ISO και επιβεβαιώστε ότι δεν έχει παραβιαστεί
Τον περασμένο μήνα, ο ιστότοπος του Linux Mint χτυπήθηκε και τροποποιήθηκε το ISO για λήψη το οποίο περιείχε ένα backdoor. Ενώ το πρόβλημα επιδιορθώθηκε γρήγορα, καταδεικνύει τη σημασία του ελέγχου των αρχείων ISO του Linux που κατεβάζετε πριν να τα εκτελέσετε και να τα εγκαταστήσετε. Δείτε πώς.
Οι διανομές Linux δημοσιεύουν checksums έτσι ώστε να μπορείτε να επιβεβαιώσετε ότι τα αρχεία που κατεβάζετε είναι αυτά που ισχυρίζονται ότι είναι και αυτά συχνά υπογράφονται, ώστε να μπορείτε να επαληθεύσετε ότι τα ίδια τα checksum δεν έχουν αλλοιωθεί. Αυτό είναι ιδιαίτερα χρήσιμο αν κατεβάσετε ένα ISO από κάπου άλλο εκτός από τον κύριο ιστότοπο, όπως έναν τρίτο καθρέπτη ή μέσω του BItTorrent, όπου είναι πολύ πιο εύκολο για τους ανθρώπους να παραβιάζουν τα αρχεία.
Πώς λειτουργεί αυτή η διαδικασία
Η διαδικασία ελέγχου ενός ISO είναι λίγο περίπλοκη, οπότε προτού μπορέσουμε να βρούμε τα ακριβή βήματα, ας εξηγήσουμε ακριβώς τι συνεπάγεται η διαδικασία:
- Θα κατεβάσετε το αρχείο ISO Linux από την ιστοσελίδα της διανομής του Linux -ή κάπου αλλού- ως συνήθως.
- Θα πραγματοποιήσετε λήψη ενός checksum και της ψηφιακής υπογραφής του από την τοποθεσία διανομής του Linux. Αυτά μπορεί να είναι δύο ξεχωριστά αρχεία TXT ή μπορεί να έχετε ένα μόνο αρχείο TXT που περιέχει και τα δύο κομμάτια των δεδομένων.
- Θα έχετε ένα δημόσιο κλειδί PGP που ανήκει στη διανομή του Linux. Μπορείτε να το πάρετε από την ιστοσελίδα της διανομής του Linux ή από ένα ξεχωριστό κεντρικό διακομιστή που διαχειρίζεται το ίδιο άτομο, ανάλογα με τη διανομή του Linux.
- Θα χρησιμοποιήσετε το κλειδί PGP για να βεβαιωθείτε ότι η ψηφιακή υπογραφή του αθροίσματος ελέγχου δημιουργήθηκε από το ίδιο άτομο που έκανε το κλειδί στην περίπτωση αυτή, τους διαχειριστές αυτής της διανομής Linux. Αυτό επιβεβαιώνει ότι το ίδιο το checkum δεν έχει αλλοιωθεί.
- Θα δημιουργήσετε το άθροισμα ελέγχου του αρχείου ISO που κατεβάσατε και θα επαληθεύσετε ότι ταιριάζει με το αρχείο TXT του checksum που κατεβάσατε. Αυτό επιβεβαιώνει ότι το αρχείο ISO δεν έχει αλλοιωθεί ή έχει αλλοιωθεί.
Η διαδικασία μπορεί να διαφέρει λίγο για διαφορετικά ISO, αλλά συνήθως ακολουθεί αυτό το γενικό πρότυπο. Για παράδειγμα, υπάρχουν διάφοροι τύποι αθροίσματος ελέγχου. Παραδοσιακά, τα ποσά MD5 ήταν τα πιο δημοφιλή. Ωστόσο, τα SHA-256 ποσά χρησιμοποιούνται πλέον συχνότερα από τις σύγχρονες διανομές Linux, καθώς το SHA-256 είναι πιο ανθεκτικό στις θεωρητικές επιθέσεις. Αρχικά θα συζητήσουμε τα SHA-256 ποσά εδώ, παρόλο που μια παρόμοια διαδικασία θα λειτουργήσει για τα ποσά MD5. Ορισμένες διανομές Linux μπορεί επίσης να παρέχουν ποσά SHA-1, αν και αυτά είναι ακόμη λιγότερο κοινά.
Ομοίως, μερικές διανομές δεν υπογράφουν τα checksum τους με το PGP. Θα χρειαστεί μόνο να εκτελέσετε τα βήματα 1, 2 και 5, αλλά η διαδικασία είναι πολύ πιο ευάλωτη. Μετά από όλα, αν ο εισβολέας μπορεί να αντικαταστήσει το αρχείο ISO για λήψη, μπορεί επίσης να αντικαταστήσει το άθροισμα ελέγχου.
Η χρήση του PGP είναι πολύ πιο ασφαλής, αλλά δεν είναι ανθεκτική. Ο επιτιθέμενος θα μπορούσε ακόμα να αντικαταστήσει αυτό το δημόσιο κλειδί με το δικό του, θα μπορούσαν ακόμα να σας εξαπατήσουν να σκεφτείτε ότι το ISO είναι νόμιμο. Ωστόσο, εάν το δημόσιο κλειδί φιλοξενείται σε διαφορετικό διακομιστή - όπως συμβαίνει με το Linux Mint - αυτό είναι πολύ λιγότερο πιθανό (αφού θα έπρεπε να χάσουν δύο servers αντί για ένα μόνο). Αλλά αν το δημόσιο κλειδί είναι αποθηκευμένο στον ίδιο διακομιστή με το ISO και το checksum, όπως συμβαίνει με ορισμένες διανομές, τότε δεν προσφέρει τόσο μεγάλη ασφάλεια.
Ακόμα, εάν προσπαθείτε να επαληθεύσετε την υπογραφή PGP σε ένα αρχείο αθροίσματος ελέγχου και στη συνέχεια να επικυρώσετε τη λήψη σας με αυτό το άθροισμα ελέγχου, αυτό είναι το μόνο που μπορείτε λογικά να κάνετε ως τελικός χρήστης που κατεβάζει ένα ISO του Linux. Είστε ακόμα πιο ασφαλείς από τους ανθρώπους που δεν ενοχλούν.
Πώς να επαληθεύσετε ένα Checksum στο Linux
Για παράδειγμα, θα χρησιμοποιήσουμε το Linux Mint, αλλά ίσως χρειαστεί να αναζητήσετε τον ιστότοπο της διανομής του Linux για να βρείτε τις επιλογές επαλήθευσης που προσφέρει. Για το Linux Mint, παρέχονται δύο αρχεία μαζί με την λήψη ISO στα καθρέφτη λήψης. Κατεβάστε το αρχείο ISO και, στη συνέχεια, κάντε λήψη των αρχείων "sha256sum.txt" και "sha256sum.txt.gpg" στον υπολογιστή σας. Κάντε δεξί κλικ στα αρχεία και επιλέξτε "Αποθήκευση συνδέσμου ως" για να τα κατεβάσετε.
Στην επιφάνεια εργασίας του Linux, ανοίξτε ένα παράθυρο τερματικού και κάντε λήψη του κλειδιού PGP. Σε αυτήν την περίπτωση, το κλειδί PGP του Linux Mint φιλοξενείται στον βασικό διακομιστή του Ubuntu και πρέπει να εκτελέσουμε την ακόλουθη εντολή για να την αποκτήσουμε.
gpg -keyserver hkp: //keyserver.ubuntu.com - κλειδιά επαναλήψεων 0FF405B2
Ο ιστότοπος του διαδικτύου του Linux σας θα σας κατευθύνει προς το κλειδί που χρειάζεστε.
Τώρα έχουμε όλα όσα χρειαζόμαστε: το ISO, το αρχείο ελέγχου, το αρχείο ψηφιακής υπογραφής του αθροίσματος ελέγχου και το κλειδί PGP. Τότε, αλλάξτε στο φάκελο στον οποίο έχουν μεταφορτωθεί στο ...
cd ~ / Λήψεις
... και εκτελέστε την ακόλουθη εντολή για να ελέγξετε την υπογραφή του αρχείου του αθροίσματος ελέγχου:
gpg - verify sha256sum.txt.gpg sha256sum.txt
Αν η εντολή GPG σάς ενημερώσει ότι το αρχείο του αρχείου sha256sum.txt που έχετε λάβει έχει "καλή υπογραφή", μπορείτε να συνεχίσετε. Στην τέταρτη γραμμή του screenshot παρακάτω, το GPG μας πληροφορεί ότι πρόκειται για μια "καλή υπογραφή" που ισχυρίζεται ότι συνδέεται με τον δημιουργό του Clement Lefebvre, του Linux Mint.
Μην ανησυχείτε ότι το κλειδί δεν είναι πιστοποιημένο με "αξιόπιστη υπογραφή". Αυτό οφείλεται στο πώς λειτουργεί η κρυπτογράφηση PGP - δεν έχετε δημιουργήσει έναν ιστό εμπιστοσύνης εισάγοντας κλειδιά από αξιόπιστους ανθρώπους. Αυτό το σφάλμα θα είναι πολύ κοινό.
Τέλος, τώρα που γνωρίζουμε ότι το checksum δημιουργήθηκε από τους συντηρητές νομισμάτων του Linux, εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε ένα άθροισμα ελέγχου από το αρχείο .iso που έχετε λάβει και να το συγκρίνετε με το αρχείο TXT του αθροίσματος ελέγχου που κατεβάσατε:
sha256sum - check sha256sum.txt
Θα δείτε πολλά μηνύματα "δεν υπάρχει τέτοιο αρχείο ή κατάλογο" αν έχετε κατεβάσει μόνο ένα αρχείο ISO, αλλά θα πρέπει να δείτε ένα μήνυμα "OK" για το αρχείο που κατεβάσατε αν ταιριάζει με το checksum.
Μπορείτε επίσης να εκτελέσετε τις εντολές ελέγχου αθροίσματος απευθείας σε ένα αρχείο .iso. Θα εξετάσει το αρχείο .iso και θα φτύσει το checkum του. Στη συνέχεια, μπορείτε να ελέγξετε ότι ταιριάζει με το έγκυρο άθροισμα ελέγχου κοιτάζοντας και τα δύο με τα μάτια σας.
Για παράδειγμα, για να λάβετε το ποσό SHA-256 ενός αρχείου ISO:
sha256sum /path/to/file.iso
Ή, εάν έχετε μια τιμή md5sum και πρέπει να πάρετε το md5sum ενός αρχείου:
md5sum /path/to/file.iso
Συγκρίνετε το αποτέλεσμα με το αρχείο TXT του αθροίσματος ελέγχου για να δείτε αν ταιριάζουν.
Πώς να επαληθεύσετε ένα Checksum στα Windows
Εάν κάνετε λήψη ενός ISO Linux από ένα μηχάνημα των Windows, μπορείτε επίσης να επαληθεύσετε το checksum εκεί - αν και τα Windows δεν έχουν ενσωματωμένο το απαραίτητο λογισμικό. Έτσι, θα πρέπει να κατεβάσετε και να εγκαταστήσετε το εργαλείο Gpg4win ανοιχτού κώδικα.
Εντοπίστε αρχεία κλειδιού υπογραφής και αρχειοθέτησης του Linux Distro. Θα χρησιμοποιήσουμε το Fedora ως παράδειγμα εδώ. Ο ιστότοπος της Fedora παρέχει λήψεις ελέγχου και μας λέει ότι μπορούμε να κατεβάσουμε το κλειδί υπογραφής του Fedora από το https://getfedora.org/static/fedora.gpg.
Αφού κατεβάσετε αυτά τα αρχεία, θα χρειαστεί να εγκαταστήσετε το κλειδί υπογραφής χρησιμοποιώντας το πρόγραμμα Kleopatra που περιλαμβάνεται στο Gpg4win. Ξεκινήστε την Κλεοπάτρα και πατήστε Αρχείο> Εισαγωγή πιστοποιητικών. Επιλέξτε το αρχείο .gpg που κατεβάσατε.
Τώρα μπορείτε να ελέγξετε αν έχει υπογραφεί το αρχείο του αθροίσματος ελέγχου με ένα από τα βασικά αρχεία που έχετε εισάγει. Για να το κάνετε αυτό, κάντε κλικ στο Αρχείο> Αποκρυπτογράφηση / Επαλήθευση αρχείων. Επιλέξτε το αρχείο του αθροίσματος ελέγχου. Καταργήστε την επιλογή του "Αρχείου εισαγωγής είναι μια αποσπασμένη υπογραφή" επιλογή και κάντε κλικ στο "Αποκρυπτογράφηση / επαλήθευση".
Είστε σίγουροι ότι θα δείτε ένα μήνυμα σφάλματος αν το κάνετε με αυτό τον τρόπο, καθώς δεν έχετε αντιμετωπίσει το πρόβλημα της επιβεβαίωσης ότι τα πιστοποιητικά της Fedora είναι πραγματικά νόμιμα. Αυτό είναι ένα πιο δύσκολο έργο. Αυτός είναι ο τρόπος με τον οποίο ο PGP έχει σχεδιαστεί για να δουλέψει - συναντάτε και ανταλλάσσετε τα κλειδιά αυτοπροσώπως, για παράδειγμα, και συνδυάζετε έναν ιστό εμπιστοσύνης. Οι περισσότεροι άνθρωποι δεν το χρησιμοποιούν με αυτόν τον τρόπο.
Ωστόσο, μπορείτε να δείτε περισσότερες λεπτομέρειες και να επιβεβαιώσετε ότι το αρχείο του αθροίσματος ελέγχου έχει υπογραφεί με ένα από τα κλειδιά που έχετε εισάγει. Αυτό είναι πολύ καλύτερο από την απλή εμπιστοσύνη σε ένα αρχείο ISO που έχετε κατεβάσει χωρίς έλεγχο, ούτως ή άλλως.
Θα πρέπει πλέον να μπορείτε να επιλέξετε Αρχείο> Επαλήθευση αρχείων ελέγχου και να επιβεβαιώσετε ότι οι πληροφορίες στο αρχείο του αθροίσματος ελέγχου συμπίπτουν με το αρχείο .iso που έχετε λάβει. Ωστόσο, αυτό δεν λειτούργησε για εμάς-ίσως είναι ακριβώς ο τρόπος με τον οποίο το αρχείο ελέγχου του Fedora είναι τοποθετημένο. Όταν το δοκιμάσαμε με το αρχείο sha256sum.txt του Linux Mint, αυτό το έκαναν.
Αν αυτό δεν λειτουργεί για τη διανομή του Linux που έχετε επιλέξει, ακολουθήστε μια λύση. Αρχικά, κάντε κλικ στην επιλογή Ρυθμίσεις> Ρύθμιση Kleopatra. Επιλέξτε "Crypto Operations", επιλέξτε "Αρχείο Αρχείων" και ορίστε Kleopatra για να χρησιμοποιήσετε το πρόγραμμα ελέγχου "sha256sum", καθώς αυτό δημιουργήθηκε με αυτό το συγκεκριμένο checksum. Αν έχετε ένα άθροισμα ελέγχου MD5, επιλέξτε "md5sum" στη λίστα εδώ.
Τώρα, κάντε κλικ στην επιλογή Αρχείο> Δημιουργία αρχείων αθροίσματος ελέγχου και επιλέξτε το αρχείο ISO που κατεβάσατε. Η Κλεοπάτρα θα δημιουργήσει ένα άθροισμα ελέγχου από το ληφθέν αρχείο .iso και θα το αποθηκεύσει σε ένα νέο αρχείο.
Μπορείτε να ανοίξετε και τα δύο αυτά αρχεία - το ληφθέν αρχείο checksum και αυτό που μόλις δημιουργήσατε - σε ένα πρόγραμμα επεξεργασίας κειμένου όπως το Notepad. Βεβαιωθείτε ότι το άθροισμα ελέγχου είναι το ίδιο και με τα δικά σας μάτια. Εάν είναι πανομοιότυπο, έχετε επιβεβαιώσει ότι το αρχείο ISO που έχετε κατεβάσει δεν έχει παραβιαστεί.
Αυτές οι μέθοδοι επαλήθευσης δεν προορίζονταν αρχικά για προστασία από κακόβουλα προγράμματα. Σχεδιάστηκαν για να επιβεβαιώσουν ότι το αρχείο ISO σας κατέβηκε σωστά και δεν ήταν κατεστραμμένο κατά τη διάρκεια της λήψης, ώστε να μπορείτε να το κάψετε και να το χρησιμοποιήσετε χωρίς να ανησυχείτε. Δεν είναι μια απόλυτα ανόθευτη λύση, καθώς πρέπει να εμπιστεύεστε το κλειδί PGP που κάνετε λήψη. Ωστόσο, αυτό παρέχει ακόμα περισσότερη βεβαιότητα από τη χρήση ενός αρχείου ISO χωρίς να το ελέγξετε καθόλου.
Πιστωτική εικόνα: Eduardo Quagliato στο Flickr