- Проверка образа ISO¶
- Загрузите контрольные суммы SHA256, предоставленные Linux Mint¶
- Проверка целостности¶
- Проверка подлинности¶
- Импортируйте ключ подписи Linux Mint:¶
- Проверьте подлинность sha256sum.txt:¶
- Как проверить контрольную сумму ISO-образа Linux и убедиться, что она не была изменена
- Как работает этот процесс
- Как проверить контрольную сумму в Linux
- Как проверить контрольную сумму в Windows
Проверка образа ISO¶
Важно убедиться в целостности и подлинности вашего образа ISO.
Проверка целостности подтверждает, что образ ISO был скачан правильно, и ваш локальный файл является точной копией файла на серверах загрузки. Ошибка во время скачивания может привести к повреждению файла и вызвать различные ошибки во время установки системы.
Проверка подлинности (аутентичности) подтверждает, что скачанный образ ISO был действительно подписан Linux Mint, то есть это не какая-то модифицированная или вредоносная копия, сделанная кем-то другим.
Загрузите контрольные суммы SHA256, предоставленные Linux Mint¶
Все зеркала загрузки предоставляют образы ISO, файл sha256sum.txt и файл sha256sum.txt.gpg . Эти файлы можно найти в том же месте, откуда вы загружаете образ ISO.
Если вы не можете найти их, перейдите на зеркало загрузки Heanet и щёлкните на версии выпуска Linux Mint, который вы загрузили.
Загрузите sha256sum.txt и sha256sum.txt.gpg .
Do not copy their content, use «right-click->Save Link As…» to download the files themselves and do not modify them in any way.
Проверка целостности¶
Для проверки целостности вашего ISO-файла сгенерируйте его контрольную сумму SHA256 и сравните её с контрольной суммой в файле sha256sum.txt .
If you are using Windows follow the tutorial How to verify the ISO image on Windows.
Если суммы совпадают, значит образ ISO был загружен успешно. Если не совпадают, попробуйте загрузить его снова.
Проверка подлинности¶
Для проверки подлинности sha256sum.txt проверьте подпись sha256sum.txt.gpg , как описано ниже.
Импортируйте ключ подписи Linux Mint:¶
gpg --keyserver hkp://keyserver.ubuntu.com:80 --recv-key "27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09"
Если gpg жалуется на идентификатор ключа, попробуйте следующие команды:
gpg --keyserver hkp://keyserver.ubuntu.com:80 --recv-key A25BAE09 gpg --list-key --with-fingerprint A25BAE09
Check the output of the last command, to make sure the fingerprint is 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09 (with or without spaces).
Проверьте подлинность sha256sum.txt:¶
gpg --verify sha256sum.txt.gpg sha256sum.txt
Вывод последней команды должен сказать Вам, что файл подписи хороший и что он был подписан с помощью ключа A25BAE09 .
GPG может предупредить Вас, что подпись Linux Mint не является доверенной для Вашего компьютера. Это ожидаемо и вполне нормально.
© Copyright 2017, Linux Mint Revision d8fbd844 .
Versions latest Downloads pdf html epub On Read the Docs Project Home Builds Free document hosting provided by Read the Docs.
Как проверить контрольную сумму ISO-образа Linux и убедиться, что она не была изменена
В прошлом месяце веб-сайт Linux Mint был взломан, и для загрузки был выложен модифицированный ISO-образ, содержащий бэкдор. Хотя проблема была устранена быстро, она демонстрирует важность проверки загружаемых ISO-файлов Linux перед их запуском и установкой. Вот как.
Дистрибутивы Linux публикуют контрольные суммы, чтобы вы могли убедиться, что загружаемые вами файлы являются теми, за кого они себя выдают, и они часто подписаны, чтобы вы могли убедиться, что сами контрольные суммы не были подделаны. Это особенно полезно, если вы загружаете ISO-образ откуда-то, кроме основного сайта, например, со стороннего зеркала или через BItTorrent, где людям гораздо проще вмешиваться в файлы.
Как работает этот процесс
Процесс проверки ISO немного сложен, поэтому, прежде чем мы перейдем к конкретным шагам, давайте объясним, что именно влечет за собой этот процесс:
- Как обычно, ISO-файл Linux загружается с веб-сайта дистрибутива Linux или где-либо еще.
- Вы загрузите контрольную сумму и ее цифровую подпись с веб-сайта дистрибутива Linux. Это могут быть два отдельных файла TXT или вы можете получить один файл TXT, содержащий обе части данных.
- Вы получите открытый ключ PGP, принадлежащий дистрибутиву Linux. Вы можете получить это на веб-сайте дистрибутива Linux или на отдельном сервере ключей, управляемом теми же людьми, в зависимости от вашего дистрибутива Linux.
- Вы будете использовать ключ PGP, чтобы убедиться, что цифровая подпись контрольной суммы была создана тем же человеком, который создал ключ, в данном случае разработчиками этого дистрибутива Linux. Это подтверждает, что сама контрольная сумма не была изменена.
- Вы создадите контрольную сумму скачанного ISO-файла и убедитесь, что она соответствует контрольной сумме TXT-файла, который вы скачали. Это подтверждает, что файл ISO не был изменен или поврежден.
Процесс может немного отличаться для разных ISO, но обычно он следует общей схеме. Например, существует несколько разных типов контрольных сумм. Традиционно наиболее популярными были суммы MD5. Однако суммы SHA-256 теперь чаще используются современными дистрибутивами Linux, поскольку SHA-256 более устойчив к теоретическим атакам. Здесь мы в первую очередь обсудим суммы SHA-256, хотя аналогичный процесс будет работать и для сумм MD5. Некоторые дистрибутивы Linux также могут предоставлять суммы SHA-1, хотя это встречается еще реже.
Точно так же некоторые дистрибутивы не подписывают свои контрольные суммы с помощью PGP. Вам нужно будет выполнить только шаги 1, 2 и 5, но этот процесс гораздо более уязвим. В конце концов, если злоумышленник может заменить файл ISO для загрузки, он также может заменить контрольную сумму.
Использование PGP намного безопаснее, но ненадежно. Злоумышленник все равно может заменить этот открытый ключ своим собственным, он все равно может обмануть вас, заставив вас думать, что ISO является законным. Однако, если открытый ключ размещен на другом сервере, как в случае с Linux Mint, это становится гораздо менее вероятным (поскольку им придется взломать два сервера вместо одного). Но если открытый ключ хранится на том же сервере, что и ISO-образ и контрольная сумма, как в случае с некоторыми дистрибутивами, то он не обеспечивает такой безопасности.
Тем не менее, если вы пытаетесь проверить подпись PGP в файле контрольной суммы, а затем проверяете свою загрузку с помощью этой контрольной суммы, это все, что вы можете разумно сделать как конечный пользователь, загружающий ISO-образ Linux. Вы по-прежнему в гораздо большей безопасности, чем люди, которые не беспокоятся.
Как проверить контрольную сумму в Linux
Мы будем использовать Linux Mint в качестве примера, но вам может потребоваться выполнить поиск на веб-сайте вашего дистрибутива Linux, чтобы найти варианты проверки, которые он предлагает. Для Linux Mint два файла предоставляются вместе с загрузкой ISO на зеркалах загрузки. Загрузите ISO-образ, а затем загрузите файлы «sha256sum.txt» и «sha256sum.txt.gpg» на свой компьютер. Щелкните правой кнопкой мыши файлы и выберите «Сохранить ссылку как», чтобы загрузить их.
На рабочем столе Linux откройте окно терминала и загрузите ключ PGP. В этом случае ключ PGP Linux Mint размещен на сервере ключей Ubuntu, и мы должны выполнить следующую команду, чтобы получить его.
gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0FF405B2
Веб-сайт вашего дистрибутива Linux укажет вам ключ, который вам нужен.
Теперь у нас есть все необходимое: ISO, файл контрольной суммы, файл цифровой подписи контрольной суммы и ключ PGP. Затем перейдите в папку, в которую они были загружены.
… и выполните следующую команду, чтобы проверить подпись файла контрольной суммы:
gpg --verify sha256sum.txt.gpg sha256sum.txt
Если команда GPG сообщает, что загруженный файл sha256sum.txt имеет «хорошую подпись», вы можете продолжить. В четвертой строке снимка экрана ниже GPG сообщает нам, что это «хорошая подпись», которая, как утверждается, связана с Клеманом Лефевром, создателем Linux Mint.
Не беспокойтесь, что ключ не сертифицирован доверенной подписью. Это связано с тем, как работает шифрование PGP: вы не создаете сеть доверия, импортируя ключи от доверенных лиц. Эта ошибка будет очень распространена.
Наконец, теперь, когда мы знаем, что контрольная сумма была создана сопровождающими Linux Mint, выполните следующую команду, чтобы сгенерировать контрольную сумму из загруженного файла .iso и сравнить ее с загруженным вами TXT-файлом контрольной суммы:
sha256sum --check sha256sum.txt
Вы увидите много сообщений «нет такого файла или каталога», если вы загрузили только один файл ISO, но вы должны увидеть сообщение «ОК» для загруженного файла, если он соответствует контрольной сумме.
Вы также можете запускать команды контрольной суммы непосредственно в файле .iso. Он проверит файл .iso и выдаст его контрольную сумму. Затем вы можете просто проверить, соответствует ли действительная контрольная сумма, взглянув на оба глазами.
Например, чтобы получить сумму SHA-256 файла ISO:
Или, если у вас есть значение md5sum и вам нужно получить md5sum файла:
Сравните результат с TXT-файлом контрольной суммы, чтобы увидеть, совпадают ли они.
Как проверить контрольную сумму в Windows
Если вы загружаете ISO-образ Linux с компьютера с Windows, вы также можете проверить там контрольную сумму, хотя в Windows нет необходимого встроенного программного обеспечения. Итак, вам нужно скачать и установить инструмент Gpg4win с открытым исходным кодом.
Найдите файл ключа подписи вашего дистрибутива Linux и файлы контрольной суммы. Мы будем использовать Fedora в качестве примера. Веб-сайт Fedora обеспечивает загрузку контрольной суммы и сообщает нам, что мы можем загрузить ключ подписи Fedora с https://getfedora.org/static/fedora.gpg.
После загрузки этих файлов вам необходимо установить ключ подписи с помощью программы Kleopatra, входящей в состав Gpg4win. Запустите Kleopatra и нажмите «Файл» > «Импортировать сертификаты». Выберите загруженный файл .gpg.
Теперь вы можете проверить, был ли загруженный файл контрольной суммы подписан одним из импортированных вами файлов ключей. Для этого нажмите «Файл» > «Расшифровать/проверить файлы». Выберите загруженный файл контрольной суммы. Снимите флажок «Входной файл является отдельной подписью» и нажмите «Расшифровать/Проверить».
Вы обязательно увидите сообщение об ошибке, если сделаете это таким образом, поскольку вы не утруждали себя подтверждением того, что эти сертификаты Fedora действительно являются законными. Это более сложная задача. Именно так работает PGP — например, вы встречаетесь и обмениваетесь ключами лично, и таким образом строите сеть доверия. Большинство людей не используют его таким образом.
Однако вы можете просмотреть дополнительные сведения и убедиться, что файл контрольной суммы был подписан одним из импортированных вами ключей. В любом случае, это намного лучше, чем просто доверять загруженному файлу ISO без проверки.
Теперь вы сможете выбрать «Файл» > «Проверить файлы контрольной суммы» и подтвердить, что информация в файле контрольной суммы соответствует загруженному файлу .iso. Однако у нас это не сработало — возможно, так устроен файл контрольной суммы Fedora. Когда мы попробовали это с файлом sha256sum.txt Linux Mint, это сработало.
Если это не работает для вашего дистрибутива Linux, вот обходной путь. Сначала нажмите «Настройки» > «Настроить Клеопатру». Выберите «Криптовалютные операции», выберите «Операции с файлами» и настройте Kleopatra на использование программы контрольной суммы «sha256sum», так как именно с ее помощью была сгенерирована эта конкретная контрольная сумма. Если у вас есть контрольная сумма MD5, выберите «md5sum» в списке здесь.
Теперь нажмите «Файл»> «Создать файлы контрольной суммы» и выберите загруженный файл ISO. Kleopatra сгенерирует контрольную сумму из загруженного файла .iso и сохранит ее в новый файл.
Вы можете открыть оба этих файла — загруженный файл контрольной суммы и только что созданный — в текстовом редакторе, таком как «Блокнот». Убедитесь, что контрольная сумма идентична в обоих случаях своими глазами. Если он идентичен, вы подтвердили, что загруженный файл ISO не был подделан.
Эти методы проверки изначально не предназначались для защиты от вредоносных программ. Они были разработаны, чтобы подтвердить, что ваш ISO-файл загружен правильно и не был поврежден во время загрузки, поэтому вы можете записать и использовать его, не беспокоясь. Они не являются полностью надежным решением, так как вам нужно доверять загружаемому ключу PGP. Тем не менее, это по-прежнему обеспечивает гораздо большую уверенность, чем простое использование файла ISO без его проверки.
Изображение предоставлено Эдуардо Куальято на Flickr