Pravděpodobně jste si stáhli distribuci GNU / Linux pro její instalaci. Mnozí uživatelé se obvykle rozhodnou nic neověřovat, pouze si stáhnou ISO obraz, vypálit na bootovatelné médium a připravit se na instalaci jejich distribuce. V nejlepším případě někteří ověřují součet, ale ne autentičnost samotného součtu. To by však mohlo vést k poškození nebo úpravám souborů škodlivými třetími stranami ...
Nezapomeňte, že vás nejen může zachránit před poškozenými soubory, ale také některé kriminálník Úmyslně jste upravili obrázek tak, aby zahrnoval určitý malware nebo zadní vrátka, aby bylo možné špehovat uživatele. Ve skutečnosti to není poprvé, co k jednomu z těchto útoků došlo na distro stahovacích serverech a dalších programech pro tyto účely.
Co potřebujete vědět dříve
Jak víte, při stahování distribuce existuje několik typů ověřovacích souborů. Je to tak MD5 a SHA. Jediná věc, která se v nich liší, je šifrovací algoritmus, který byl použit v každém z nich, ale oba slouží ke stejnému účelu. Nejlépe byste měli použít SHA.
L typické soubory při stahování distribuce najdete kromě samotného obrazu ISO také:
- distro-name-image.iso: je ten, který obsahuje ISO obraz samotné distribuce. Může mít velmi různá jména. Například ubuntu-20.04-desktop-amd64.iso. V tomto případě to znamená, že se jedná o distribuci Ubuntu 20.04 pro stolní počítače a pro architekturu AMD64 (x86-64 nebo EM64T, zkrátka x86 64bitová).
- MD5SUMS: Obsahuje kontrolní součty obrázků. V tomto případě se použije MD5.
- MD5SUMS.gpg: v tomto případě obsahuje digitální podpis ověření předchozího souboru, aby se ověřila jeho autenticita.
- SHA256SUMS: Obsahuje kontrolní součty obrázků. V tomto případě se použije SHA256.
- SHA256SUMS.gpg: v tomto případě obsahuje digitální podpis ověření předchozího souboru, aby se ověřila jeho autenticita.
Už víte, že pokud stahujete pomocí . Torrent Ověření nebude nutné, protože ověření je součástí procesu stahování u těchto typů klientů.
příklad
Nyní řekněme praktický příklad jak by ověření mělo probíhat ve skutečném případě. Předpokládejme, že si chceme stáhnout Ubunut 20.04 a ověřit jeho ISO obraz pomocí SHA256:
- Stáhněte si obrázek ISO správný Ubuntu.
- Stáhněte si ověřovací soubory. To znamená, jak SHA256SUMS, tak SHA256SUMS.gpg.
- Nyní musíte provést následující příkazy z adresáře, do kterého jste je stáhli (za předpokladu, že jsou ve složce Stahování) zkontrolovat:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
L výsledky hozeny tyto příkazy by vás neměly upozorňovat. Druhý příkaz by v tomto případě zobrazil informace o podpisu s pověřeními Ubuntu. Pokud jste si přečetli zprávu «Nic nenasvědčuje tomu, že podpis patří vlastníkovi"Nebo"Nic nenasvědčuje tomu, že podpis patří vlastníkovi" nepanikařte. Obvykle se to stane, když to nebylo prohlášeno za důvěryhodné. Proto si musíte být jisti, že stažený klíč patří entitě (v tomto případě vývojářů Ubuntu), a tedy třetím příkazem, který jsem dal ...
Čtvrtý příkaz by vám měl říci, že je vše v pořádku, nebo «Součet odpovídá»Pokud nebyl obrazový soubor ISO upraven. Jinak by vás mělo upozornit, že něco není v pořádku ...