Você provavelmente baixou uma distribuição GNU / Linux para instalá-lo. Normalmente, muitos usuários optam por não verificar nada, eles apenas baixam o Imagem ISO, eles o gravam em uma mídia inicializável e se preparam para instalar sua distribuição. Na melhor das hipóteses, alguns verificam a soma, mas não a autenticidade da própria soma. Mas isso pode fazer com que os arquivos sejam corrompidos ou modificados por terceiros mal-intencionados ...
Lembre-se de que não só pode salvá-lo de arquivos corrompidos, mas também que alguns cibercriminoso Você modificou intencionalmente a imagem para incluir determinado malware ou backdoors para espionar os usuários. Na verdade, não é a primeira vez que um desses ataques ocorre em servidores de download de distro e outros programas com essas finalidades.
O que você precisa saber antes
Bem, como você sabe, quando você baixa a distro existem vários tipos de arquivos de verificação. Estão o MD5 e o SHA. A única coisa que varia entre eles é o algoritmo de criptografia que foi usado em cada um deles, mas ambos têm o mesmo propósito. Você deve usar preferencialmente o SHA.
Os arquivos típicos que você encontra ao baixar a distro, além da própria imagem ISO, são:
- distro-name-image.iso: é aquele que contém a imagem ISO da própria distro. Pode ter nomes muito diferentes. Por exemplo, ubuntu-20.04-desktop-amd64.iso. Nesse caso, indica que se trata da distro Ubuntu 20.04 para desktop e para a arquitetura AMD64 (x86-64 ou EM64T, enfim, x86 64 bits).
- MD5SUMS: Contém as somas de verificação das imagens. Neste caso, MD5 é usado.
- MD5SUMS.gpg: neste caso contém a assinatura digital de verificação do arquivo anterior, para verificar que é autêntico.
- SHA256SUMS: Contém as somas de verificação das imagens. Neste caso, SHA256 é usado.
- SHA256SUMS.gpg: neste caso contém a assinatura digital de verificação do arquivo anterior, para verificar que é autêntico.
Você já sabe que se baixar usando o .torrente Não será necessário verificar, pois a verificação está incluída no processo de download com esses tipos de clientes.
Exemplo
Agora vamos colocar um exemplo prático de como a verificação deve proceder em um caso real. Vamos supor que queremos fazer o download do Ubunut 20.04 e verificar sua imagem ISO usando SHA256:
- Baixe a imagem ISO Ubuntu adequado.
- Baixar arquivos de verificação. Ou seja, SHA256SUMS e SHA256SUMS.gpg.
- Agora você deve executar os seguintes comandos do diretório onde você os baixou (assumindo que eles estão em Downloads) para Como verificar a:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
Os resultados lançados esses comandos não devem alertá-lo. O segundo comando exibiria as informações de assinatura com as credenciais do Ubuntu neste caso. Se você leu uma mensagem «Não há indicação de que a assinatura pertence ao proprietário»Ou«Não há indicação de que a assinatura pertence ao proprietário" não entre em pânico. Geralmente acontece quando não foi declarado como confiável. É por isso que você deve ter certeza de que a chave baixada pertence à entidade (neste caso, os desenvolvedores do Ubuntu) e, portanto, o terceiro comando que coloquei ...
O quarto comando deve dizer que está tudo OK ou um «A soma corresponde»Se o arquivo de imagem ISO não foi modificado. Caso contrário, deve alertá-lo de que algo está errado ...