Vous avez probablement téléchargé une distribution GNU / Linux pour l'installer. Généralement, de nombreux utilisateurs choisissent de ne rien vérifier, ils téléchargent simplement le Image ISO, gravez-le sur un support amorçable et préparez-vous à installer leur distribution. Au mieux, certains vérifient la somme mais pas l'authenticité de la somme elle-même. Mais cela pourrait conduire à des fichiers corrompus ou modifiés par des tiers malveillants ...
N'oubliez pas que non seulement cela peut vous sauver des fichiers corrompus, mais aussi que certains cyber criminel Vous avez intentionnellement modifié l'image pour inclure certains logiciels malveillants ou des portes dérobées pour espionner les utilisateurs. En fait, ce n'est pas la première fois qu'une de ces attaques se produit sur des serveurs de téléchargement de distribution et d'autres programmes à ces fins.
Ce que vous devez savoir avant
Eh bien, comme vous le savez, lorsque vous téléchargez la distribution, il existe plusieurs types de fichiers de vérification. Est-ce le cas le MD5 et le SHA. La seule chose qui varie en eux est l'algorithme de cryptage qui a été utilisé dans chacun d'eux, mais les deux ont le même objectif. Vous devez de préférence utiliser le SHA.
Les fichiers typiques que vous pouvez trouver lors du téléchargement de la distribution, en plus de l'image ISO elle-même, sont:
- distro-name-image.iso: est celui qui contient l'image ISO de la distribution elle-même. Il peut avoir des noms très différents. Par exemple, ubuntu-20.04-desktop-amd64.iso. Dans ce cas, cela indique qu'il s'agit de la distribution Ubuntu 20.04 pour le bureau et pour l'architecture AMD64 (x86-64 ou EM64T, en bref, x86 64 bits).
- MD5SUMS: Contient les sommes de contrôle des images. Dans ce cas, MD5 est utilisé.
- MD5SUMS.gpg: dans ce cas il contient la signature numérique de vérification du fichier précédent, pour vérifier son authenticité.
- SHA256SUMS: Contient les sommes de contrôle des images. Dans ce cas, SHA256 est utilisé.
- SHA256SUMS.gpg: dans ce cas il contient la signature numérique de vérification du fichier précédent, pour vérifier son authenticité.
Vous savez déjà que si vous téléchargez en utilisant le .torrent Il ne sera pas nécessaire de vérifier, car la vérification est incluse dans le processus de téléchargement avec ces types de clients.
Exemple
Maintenant, mettons un exemple pratique de la manière dont la vérification doit se dérouler dans un cas réel. Supposons que nous souhaitons télécharger Ubunut 20.04 et vérifier son image ISO en utilisant SHA256:
- Téléchargez l'image ISO correct Ubuntu.
- Télécharger les fichiers de vérification. Autrement dit, à la fois SHA256SUMS et SHA256SUMS.gpg.
- Vous devez maintenant exécuter les commandes suivantes à partir du répertoire où vous les avez téléchargées (en supposant qu'elles se trouvent dans Téléchargements) verificar:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
Les résultats lancés ces commandes ne devraient pas vous alerter. La deuxième commande afficherait les informations de signature avec les informations d'identification Ubuntu dans ce cas. Si vous lisez un message «Rien n'indique que la signature appartient au propriétaire»Ou«Rien n'indique que la signature appartient au propriétaire" ne pas paniquer. Cela se produit généralement lorsqu'il n'a pas été déclaré fiable. C'est pourquoi il faut être sûr que la clé téléchargée appartient à l'entité (dans ce cas, les développeurs Ubuntu), et donc à la troisième commande que j'ai mise ...
La quatrième commande devrait vous dire que tout est OK ou un «La somme correspond»Si le fichier image ISO n'a pas été modifié. Sinon, cela devrait vous alerter que quelque chose ne va pas ...