Probabilmente hai scaricato una distribuzione GNU / Linux per installarla. Di solito molti utenti scelgono di non verificare nulla, scaricano semplicemente il file Immagine ISO, lo masterizzano in un supporto di avvio e si preparano a installare la loro distribuzione. Nella migliore delle ipotesi, alcuni verificano la somma ma non l'autenticità della somma stessa. Ma questo potrebbe portare a file corrotti o modificati da terze parti dannose ...
Ricorda che non solo può salvarti da file danneggiati, ma anche da alcuni cyber criminale Hai intenzionalmente modificato l'immagine per includere determinati malware o backdoor per spiare gli utenti. In effetti, non è la prima volta che uno di questi attacchi si è verificato sui server di download delle distro e altri programmi per questi scopi.
Quello che devi sapere prima
Bene, come sai, quando scarichi la distro ci sono diversi tipi di file di verifica. È così l'MD5 e lo SHA. L'unica cosa che varia in essi è l'algoritmo di crittografia che è stato utilizzato in ciascuno di essi, ma entrambi hanno lo stesso scopo. Preferibilmente dovresti usare lo SHA.
I file tipici che puoi trovare durante il download della distro, oltre all'immagine ISO stessa, sono:
- nome-distro-immagine.iso: è quello che contiene l'immagine ISO della distribuzione stessa. Può avere nomi molto diversi. Ad esempio, ubuntu-20.04-desktop-amd64.iso. In questo caso indica che si tratta della distro Ubuntu 20.04 per desktop e per l'architettura AMD64 (x86-64 o EM64T, in breve, x86 64 bit).
- MD5SUMS: Contiene i checksum delle immagini. In questo caso viene utilizzato MD5.
- MD5SUMS.gpg: in questo caso contiene la firma digitale di verifica del file precedente, per verificare che sia autentico.
- SHA256SUMS: Contiene i checksum delle immagini. In questo caso viene utilizzato SHA256.
- SHA256SUMS.gpg: in questo caso contiene la firma digitale di verifica del file precedente, per verificare che sia autentico.
Lo sai già se scarichi utilizzando il file .torrent La verifica non sarà necessaria, poiché la verifica è inclusa nel processo di download con questi tipi di client.
Ejemplo
Ora mettiamo un esempio pratico di come dovrebbe procedere la verifica in un caso reale. Supponiamo di voler scaricare Ubunut 20.04 e verificare la sua immagine ISO utilizzando SHA256:
- Scarica l'immagine ISO Ubuntu corretto.
- Scarica i file di verifica. Ovvero, sia SHA256SUMS che SHA256SUMS.gpg.
- Ora devi eseguire i seguenti comandi dalla directory in cui li hai scaricati (supponendo che siano in Download) verificar:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
I risultati lanciati questi comandi non dovrebbero avvisarti. Il secondo comando visualizzerà le informazioni sulla firma con le credenziali di Ubuntu in questo caso. Se leggi un messaggio «Non vi è alcuna indicazione che la firma appartenga al proprietario'O'Non vi è alcuna indicazione che la firma appartenga al proprietario" niente panico. Di solito accade quando non è stato dichiarato affidabile. Ecco perché devi essere sicuro che la chiave scaricata appartenga all'entità (in questo caso, gli sviluppatori di Ubuntu), e quindi il terzo comando che ho inserito ...
Il quarto comando dovrebbe dirti che è tutto OK o un «La somma corrisponde»Se il file immagine ISO non è stato modificato. Altrimenti, dovrebbe avvisarti che qualcosa non va ...