Startpagina » hoe » Hoe de controlesom van Linux ISO te verifiëren en te bevestigen dat er niet mee is geknoeid

    Hoe de controlesom van Linux ISO te verifiëren en te bevestigen dat er niet mee is geknoeid

    Vorige maand werd de website van Linux Mint gehackt en er werd een gemodificeerde ISO opgemaakt voor download met een achterdeur. Hoewel het probleem snel is verholpen, toont dit aan hoe belangrijk het is om Linux ISO-bestanden die u downloadt te controleren voordat u ze uitvoert en installeert. Hier is hoe.

    Linux-distributies publiceren checksums, zodat je kunt bevestigen dat de bestanden die je download zijn wat ze beweren te zijn, en deze zijn vaak ondertekend, zodat je kunt verifiëren dat de checksums zelf niet zijn gemanipuleerd. Dit is vooral handig als u een ISO downloadt van ergens anders dan de hoofdsite, zoals een spiegel van derden, of via BItTorrent, waar het voor mensen veel gemakkelijker is om met bestanden te knoeien.

    Hoe dit proces werkt

    Het proces van het controleren van een ISO is een beetje ingewikkeld, dus laten we, voordat we in de exacte stappen stappen, uitleggen wat het proces inhoudt:

    1. Je downloadt het Linux ISO-bestand van de website van de Linux-distributie - of ergens anders - zoals gewoonlijk.
    2. U downloadt een controlesom en de digitale handtekening van de website van de Linux-distributie. Dit kunnen twee afzonderlijke TXT-bestanden zijn of u kunt een enkel TXT-bestand krijgen met beide gegevens.
    3. U krijgt een openbare PGP-sleutel die tot de Linux-distributie behoort. Je kunt dit krijgen van de website van de Linux-distributie of van een afzonderlijke sleutelserver die door dezelfde mensen wordt beheerd, afhankelijk van je Linux-distributie.
    4. U gebruikt de PGP-sleutel om te verifiëren dat de digitale handtekening van de checksum is gemaakt door dezelfde persoon die de sleutel heeft gemaakt, in dit geval de beheerders van die Linux-distributie. Dit bevestigt dat er niet met de checksum zelf is geknoeid.
    5. U genereert de controlesom van uw gedownloade ISO-bestand en controleert of het overeenkomt met het TXT-controlescontroletarebestand dat u hebt gedownload. Dit bevestigt dat er niet met het ISO-bestand is geknoeid of dat dit is beschadigd.

    Het proces kan een beetje verschillen voor verschillende ISO's, maar meestal volgt dit algemene patroon. Er zijn bijvoorbeeld verschillende soorten checksums. Traditioneel waren MD5-bedragen het populairst. SHA-256-sommen worden tegenwoordig echter vaker gebruikt door moderne Linux-distributies, omdat SHA-256 beter bestand is tegen theoretische aanvallen. We zullen hier in de eerste plaats SHA-256-bedragen bespreken, hoewel een soortgelijk proces voor MD5-bedragen zal werken. Sommige Linux-distributies bieden mogelijk ook SHA-1-bedragen, hoewel deze nog minder vaak voorkomen.

    Evenzo ondertekenen sommige distributeurs hun controlesommen niet met PGP. U hoeft alleen stap 1, 2 en 5 uit te voeren, maar het proces is veel kwetsbaarder. Immers, als de aanvaller het ISO-bestand kan downloaden om te downloaden, kunnen ze ook de controlesom vervangen.

    Het gebruik van PGP is veel veiliger, maar niet onfeilbaar. De aanvaller kan die openbare sleutel nog steeds vervangen door die van hemzelf, ze kunnen je nog steeds laten denken dat de ISO legitiem is. Als de openbare sleutel echter op een andere server wordt gehost, zoals het geval is met Linux Mint, wordt dit veel minder waarschijnlijk (omdat ze twee servers moeten hacken in plaats van slechts één). Maar als de openbare sleutel op dezelfde server is opgeslagen als de ISO en controlesom, zoals het geval is bij sommige distributies, biedt deze niet zoveel beveiliging.

    Als u echter probeert de PGP-handtekening in een controlesombestand te verifiëren en vervolgens uw download met die controlesom te valideren, is dat alles wat u redelijkerwijs kunt doen als een eindgebruiker die een Linux ISO downloadt. Je bent nog steeds veel veiliger dan de mensen die niet lastig vallen.

    Hoe een controlesom controleren op Linux

    We zullen Linux Mint hier als voorbeeld gebruiken, maar je moet misschien op de website van je Linux-distributie zoeken om de verificatie-opties te vinden die het biedt. Voor Linux Mint worden twee bestanden geleverd, samen met de ISO-download op de downloadspiegels. Download de ISO en download vervolgens de bestanden "sha256sum.txt" en "sha256sum.txt.gpg" naar uw computer. Klik met de rechtermuisknop op de bestanden en selecteer "Koppeling opslaan als" om ze te downloaden.

    Open op uw Linux-bureaublad een terminalvenster en download de PGP-sleutel. In dit geval wordt de PGP-sleutel van Linux Mint gehost op de sleutelserver van Ubuntu en moeten we het volgende commando uitvoeren om het te krijgen.

    gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

    De website van je Linux distro wijst je naar de sleutel die je nodig hebt.

    We hebben nu alles wat we nodig hebben: de ISO, het checksum-bestand, het digitale handtekeningenbestand van de checksum en de PGP-sleutel. Dus verander de map waarnaar ze zijn gedownload naar ...

    cd ~ / Downloads

    ... en voer de volgende opdracht uit om de handtekening van het controlesombestand te controleren:

    gpg --verify sha256sum.txt.gpg sha256sum.txt

    Als de GPG-opdracht u laat weten dat het gedownloade bestand sha256sum.txt een "goede handtekening" heeft, kunt u doorgaan. In de vierde regel van de schermafbeelding hieronder laat GPG weten dat dit een "goede handtekening" is die beweert geassocieerd te zijn met Clement Lefebvre, de maker van Linux Mint.

    Maakt u zich geen zorgen dat de sleutel niet is gecertificeerd met een 'vertrouwde handtekening'. Dit komt door de manier waarop PGP-codering werkt: u hebt geen web van vertrouwen ingesteld door sleutels van vertrouwde mensen te importeren. Deze fout komt heel vaak voor.

    Ten slotte, nu we weten dat de controlesom is gemaakt door de Linux Mint-beheerders, voer je de volgende opdracht uit om een ​​controlesom te genereren uit het gedownloade .iso-bestand en te vergelijken met het gedownloade TXT-checksum-bestand:

    sha256sum --check sha256sum.txt

    Je zult veel "niet zo'n bestand of map" -berichten zien als je maar één ISO-bestand hebt gedownload, maar je zou een "OK" -bericht moeten zien voor het bestand dat je hebt gedownload als het overeenkomt met de controlesom.

    U kunt de checksum-opdrachten ook direct uitvoeren op een .iso-bestand. Het zal het .iso-bestand onderzoeken en de controlesom uitspugen. U kunt het dan gewoon vergelijken met de geldige controlesom door beide met uw ogen te bekijken.

    Bijvoorbeeld om de SHA-256-som van een ISO-bestand te krijgen:

    sha256sum /path/to/file.iso

    Of, als je een md5sum-waarde hebt en het md5sum van een bestand moet krijgen:

    md5sum /path/to/file.iso

    Vergelijk het resultaat met het checksum TXT-bestand om te zien of ze overeenkomen.

    Hoe een checksum in Windows te controleren

    Als u een Linux ISO downloadt van een Windows-computer, kunt u de controlesom daar ook controleren, hoewel Windows niet over de benodigde software beschikt. U moet dus de open-source Gpg4win-tool downloaden en installeren.

    Zoek het ondertekeningsleutelbestand en controlesombestanden van uw Linux distro. We zullen Fedora hier als voorbeeld gebruiken. Fedora's website biedt checksum downloads en vertelt ons dat we de Fedora signing key van https://getfedora.org/static/fedora.gpg kunnen downloaden.

    Nadat u deze bestanden hebt gedownload, moet u de handtekeningsleutel installeren met behulp van het Kleopatra-programma dat bij Gpg4win is geleverd. Start Kleopatra en klik op Bestand> Certificaten importeren. Selecteer het .gpg-bestand dat u hebt gedownload.

    U kunt nu controleren of het gedownloade checksum-bestand is ondertekend met een van de sleutelbestanden die u hebt geïmporteerd. Om dit te doen, klikt u op Bestand> Decoderen / Controleren van bestanden. Selecteer het gedownloade checksum-bestand. Schakel het selectievakje "Invoerbestand is een losstaande handtekening" uit en klik op "Decoderen / Controleren".

    U zult zeker een foutmelding zien als u het op deze manier doet, omdat u niet de moeite hebt genomen om te bevestigen dat die Fedora-certificaten echt legitiem zijn. Dat is een moeilijkere taak. Dit is de manier waarop PGP is ontworpen om te werken - je ontmoet bijvoorbeeld persoonlijk sleutels en kunt deze persoonlijk uitwisselen en een web van vertrouwen samenstellen. De meeste mensen gebruiken het niet op deze manier.

    U kunt echter meer details bekijken en bevestigen dat het controlesombestand is ondertekend met een van de sleutels die u hebt geïmporteerd. Dit is veel beter dan alleen maar vertrouwen op een gedownload ISO-bestand zonder te controleren.

    Nu moet u Bestand> Controlesombesturingsbestanden controleren selecteren en bevestigen dat de informatie in het controlesombestand overeenkomt met het gedownloade .iso-bestand. Dit werkte echter niet voor ons, misschien is het precies hoe Fedora's checksum-bestand is opgesteld. Toen we dit probeerden met het bestand sha256sum.txt van Linux Mint, werkte het.

    Als dit niet werkt voor je Linux-distributie naar keuze, is dit een tijdelijke oplossing. Klik eerst op Instellingen> Kleopatra configureren. Selecteer 'Crypto-bewerkingen', selecteer 'Bestandsbewerkingen' en stel Kleopatra in om het 'sha256sum'-controlesomprogramma te gebruiken, want hiermee is deze specifieke controlesom gegenereerd. Als u een MD5-checksum heeft, selecteert u hier "md5sum" in de lijst.

    Klik nu op Bestand> Checksum-bestanden maken en selecteer uw gedownloade ISO-bestand. Kleopatra genereert een controlesom van het gedownloade .iso-bestand en slaat het op in een nieuw bestand.

    U kunt beide bestanden openen (het gedownloade controlesombestand en het bestand dat u zojuist hebt gegenereerd) in een teksteditor zoals Kladblok. Controleer of de controlesom identiek is in beide gevallen met uw eigen ogen. Als het identiek is, hebt u bevestigd dat er niet met uw gedownloade ISO-bestand is geknoeid.


    Deze verificatiemethoden waren oorspronkelijk niet bedoeld voor bescherming tegen malware. Ze zijn ontworpen om te bevestigen dat uw ISO-bestand correct is gedownload en niet is beschadigd tijdens het downloaden, zodat u het kunt branden en gebruiken zonder u zorgen te hoeven maken. Ze zijn geen volledig waterdichte oplossing, omdat u de PGP-sleutel die u downloadt moet vertrouwen. Dit biedt echter nog veel meer zekerheid dan alleen het gebruik van een ISO-bestand zonder het te controleren.

    Image Credit: Eduardo Quagliato op Flickr