Segurament has descarregat una distribució GNU / Linux per instal·lar-la. En general, molts usuaris opten per no verificar res, simplement descarreguen la imatge ISO, La cremen en un mitjà booteable i es disposen a instal·lar la seva distribució. En el millor dels casos, alguns verifiquen la suma però no l'autenticitat de la pròpia suma. Però això podria donar lloc al fet que tingui arxius corruptes o modificats per tercers amb males intencions ...
Recorda que no només et pot salvar d'arxius corruptes, sinó que algun ciberdelinqüent hagi modificat intencionadament la imatge per incloure cert malware o portes posteriors amb les que espiar als usuaris. De fet, no és la primera vegada que ocorre un d'aquests atacs a servidors de descàrregues de distros i altres programes amb aquestes finalitats.
El que cal saber abans
Bé, com sabràs, quan descàrregues la distro hi ha diversos tipus d'arxius de verificació. estan els MD5 i els SHA. L'única cosa que varia en ells és l'algoritme de xifrat que s'ha emprat en cada un d'ells, però tots dos serveixen per el mateix. Preferiblement hauries utilitzar el SHA.
Els arxius típics que pots trobar a l'descarregar la distro, a més de la pròpia imatge ISO són:
- nom-distro-image.iso: És el que conté la imatge ISO de la distro en si. Pot tenir noms molt diversos. Per exemple, ubuntu-20.04-desktop-amd64.iso. En aquest cas indica que es tracta de la distro Ubuntu 20.04 per escriptori i per a l'arquitectura AMD64 (x86-64 o EM64T, en definitiva, x86 de 64 bits).
- MD5SUMS: Conté les sumes de verificació de les imatges. En aquest cas es fa servir MD5.
- MD5SUMS.gpg: En aquest cas conté la signatura digital de verificació de l'anterior arxiu, per verificar que sigui autèntic.
- SHA256SUMS: Conté les sumes de verificació de les imatges. En aquest cas es fa servir SHA256.
- SHA256SUMS.gpg: En aquest cas conté la signatura digital de verificació de l'anterior arxiu, per verificar que sigui autèntic.
Ja saps que si fas la descàrrega usant el torrent no caldrà verificar, ja que s'inclou la verificació en el procés de descàrrega amb aquest tipus de clients.
Exemple
Ara bé, posarem un exemple pràctic de com s'hauria de procedir a la verificació en un cas real. Anem a suposar que volem descarregar Ubunut 20.04 i verificar la seva imatge ISO usant SHA256:
- Descarregar la imatge ISO d'Ubuntu adequada.
- Descarregar els arxius de verificació. És a dir, tant SHA256SUMS com SHA256SUMS.gpg.
- Ara has d'executar des del directori on els has descarregat les següents comandes (suposant que estan en Descàrregues) per verificar:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
Els resultats llançats per aquestes comandes no haurien avisar-. El segon comandament mostraria la informació de la signatura amb les credencials d'Ubuntu en aquest cas. Si llegeixes un missatge «No hi ha indicis que la signatura pertanyi a l'propietari»O«There is no indication that the signature belongs to the owner»No t'espantis. Sol passar quan no s'ha declarat com fiable. Per això has d'estar segur que la clau descarregada pertany a l'entitat (en aquest cas dels desenvolupadors d'Ubuntu), i per això el tercer comando que he posat ...
El quart ordre et haurien indicar que tot està OK o un "La suma coincideix»Si no s'ha modificat l'arxiu d'imatge ISO. En cas contrari, hauria de avisar-que alguna cosa va malament ...