nl.phhsnews.com


nl.phhsnews.com / Controleren van de controlesom van Linux ISO en bevestigen dat er niet is geknoeid met

Controleren van de controlesom van Linux ISO en bevestigen dat er niet is geknoeid met


Vorige maand werd de website van Linux Mint gehackt en werd een gewijzigde ISO ingesteld voor downloaden met een achterdeur . Hoewel het probleem snel werd verholpen, toont dit aan hoe belangrijk het is om Linux ISO-bestanden die u downloadt te controleren voordat u ze uitvoert en installeert. Hier is hoe.

Linux-distributies publiceren checksums zodat je kunt bevestigen dat de bestanden die je download zijn wat ze beweren te zijn, en deze zijn vaak ondertekend, zodat je kunt verifiëren dat de checksums zelf niet zijn gemanipuleerd. Dit is met name handig als u een ISO downloadt van ergens anders dan de hoofdsite, zoals een externe mirror, of via BItTorrent, waar het voor mensen veel gemakkelijker is om met bestanden te knoeien.

Hoe dit proces werkt

het proces van het controleren van een ISO is een beetje ingewikkeld, dus laten we, voordat we in de exacte stappen stappen, uitleggen wat het proces precies inhoudt:

  1. U downloadt het Linux ISO-bestand van de website van de Linux-distributie - of ergens anders - zoals gewoonlijk .
  2. U downloadt een controlesom en de digitale handtekening van de website van de Linux-distributie. Dit kunnen twee afzonderlijke TXT-bestanden zijn of u kunt een enkel TXT-bestand krijgen met beide gegevens.
  3. U krijgt een openbare PGP-sleutel die tot de Linux-distributie behoort. Je krijgt dit mogelijk van de website van de Linux-distributie of een afzonderlijke sleutelserver die door dezelfde mensen wordt beheerd, afhankelijk van je Linux-distributie.
  4. Je gebruikt de PGP-sleutel om te verifiëren dat de digitale handtekening van de checksum is gemaakt door dezelfde persoon die maakte de sleutel - in dit geval de beheerders van die Linux-distributie. Dit bevestigt dat er niet met de checksum zelf is geknoeid.
  5. U genereert de controlesom van uw gedownloade ISO-bestand en verifieert dat deze overeenkomt met het TXT-controlescontroletarebestand dat u hebt gedownload. Dit bevestigt dat er niet met het ISO-bestand is geknoeid of dat het is beschadigd.

Het proces kan een beetje verschillen voor verschillende ISO's, maar meestal volgt dit algemene patroon. Er zijn bijvoorbeeld verschillende soorten checksums. Van oudsher waren MD5-bedragen het populairst. SHA-256-sommen worden tegenwoordig echter vaker gebruikt door moderne Linux-distributies, omdat SHA-256 beter bestand is tegen theoretische aanvallen. We zullen hier in de eerste plaats SHA-256-bedragen bespreken, hoewel een soortgelijk proces ook voor MD5-bedragen zal werken. Sommige Linux-distributies leveren ook SHA-1-bedragen op, hoewel deze nog minder vaak voorkomen. Op dezelfde manier ondertekenen sommige distributiegroepen hun controlesommen niet met PGP. U hoeft alleen stap 1, 2 en 5 uit te voeren, maar het proces is veel kwetsbaarder. Immers, als de aanvaller het ISO-bestand kan downloaden om te downloaden, kunnen ze ook de controlesom vervangen.

PGP gebruiken is veel veiliger, maar niet onfeilbaar. De aanvaller kan die openbare sleutel nog steeds vervangen door die van hemzelf, ze kunnen je nog steeds laten denken dat de ISO legitiem is. Als de openbare sleutel echter op een andere server wordt gehost, zoals het geval is met Linux Mint, wordt dit veel minder waarschijnlijk (omdat ze twee servers moeten hacken in plaats van slechts één). Maar als de openbare sleutel op dezelfde server wordt opgeslagen als de ISO en controlesom, zoals het geval is bij sommige distributies, biedt deze niet zoveel beveiliging.

Toch, als u probeert de PGP-handtekening te verifiëren in een checksum-bestand en vervolgens het valideren van uw download met die controlesom, dat is alles wat u redelijkerwijs kunt doen als een eindgebruiker die een Linux ISO downloadt. Je bent nog steeds veel veiliger dan de mensen die niet lastig vallen.

Controleren van een controlesom op Linux

We zullen Linux Mint hier als voorbeeld gebruiken, maar je moet mogelijk de website van je Linux-distributie doorzoeken om de verificatieopties te vinden die het biedt. Voor Linux Mint worden twee bestanden meegeleverd, samen met de ISO-download op de downloadspiegels. Download de ISO en download vervolgens de bestanden "sha256sum.txt" en "sha256sum.txt.gpg" naar uw computer. Klik met de rechtermuisknop op de bestanden en selecteer "Koppeling opslaan als" om ze te downloaden.

Open een terminalvenster op uw Linux-bureaublad en download de PGP-sleutel. In dit geval wordt de PGP-sleutel van Linux Mint gehost op de sleutelserver van Ubuntu en moeten we het volgende commando uitvoeren om het te krijgen.

gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

De website van je Linux distro wijst je naar de sleutel die je nodig hebt.

We hebben nu alles wat we nodig hebben: de ISO, de checksum bestand, het digitale handtekeningenbestand van de checksum en de PGP-sleutel. Dus ga vervolgens naar de map die ze zijn gedownload naar ...

cd ~ / Downloads

... en voer de volgende opdracht uit om de handtekening van het controlesombestand te controleren:

gpg --verify sha256sum.txt.gpg sha256sum .txt

Als de GPG-opdracht u laat weten dat het gedownloade bestand sha256sum.txt een "goede handtekening" heeft, kunt u doorgaan. In de vierde regel van de schermafbeelding hieronder laat GPG ons weten dat dit een "goede handtekening" is die beweert geassocieerd te zijn met Clement Lefebvre, de maker van Linux Mint.

Maakt u zich geen zorgen dat de sleutel niet is gecertificeerd met een " vertrouwde handtekening. "Dit komt door de manier waarop PGP-codering werkt: u hebt geen web van vertrouwen ingesteld door sleutels van vertrouwde mensen te importeren. Deze fout komt heel vaak voor.

Tot slot, nu we weten dat de controlesom is gemaakt door de Linux Mint-beheerders, voer je de volgende opdracht uit om een ​​controlesom te genereren uit het gedownloade .iso-bestand en te vergelijken met het gedownloade TXT-checksum-bestand :

sha256sum --check sha256sum.txt

U zult veel "niet zo'n bestand of map" -berichten zien als u slechts één ISO-bestand hebt gedownload, maar u zou een "OK" -bericht voor het bestand moeten zien je hebt het gedownload als het overeenkomt met de checksum.

Je kunt de checksum-commando's ook direct uitvoeren op een .iso-bestand. Het zal het .iso-bestand onderzoeken en de controlesom uitspugen. Je kunt het dan gewoon vergelijken met de geldige controlesom door beide met je ogen te bekijken.

Bijvoorbeeld om de SHA-256-som van een ISO-bestand te krijgen:

sha256sum /path/to/file.iso

Of, als u een md5sum-waarde heeft en het md5sum van een bestand moet krijgen:

md5sum /path/to/file.iso

Vergelijk het resultaat met het checksum TXT-bestand om te zien of ze overeenkomen.

Controleren van een controlesom op Windows

Als u een Linux ISO downloadt van een Windows-machine, kunt u de controlesom daar ook controleren, hoewel Windows niet over de benodigde software beschikt. Je moet dus de open-source Gpg4win-tool downloaden en installeren.

Zoek het handtekenings- en controlesombestand van je Linux distro's. We zullen Fedora hier als een voorbeeld gebruiken. De Fedora-website biedt checksum-downloads en vertelt ons dat we de Fedora-ondertekeningssleutel kunnen downloaden van //getfedora.org/static/fedora.gpg.

Nadat je deze bestanden hebt gedownload, moet je de handtekeningsleutel installeren met behulp van het Kleopatra-programma bij Gpg4win. Start Kleopatra en klik op Bestand> Certificaten importeren. Selecteer het .gpg-bestand dat u hebt gedownload.

U kunt nu controleren of het gedownloade checksum-bestand is ondertekend met een van de sleutelbestanden die u hebt geïmporteerd. Hiertoe klikt u op Bestand> Decoderen / Controleren van bestanden. Selecteer het gedownloade checksum-bestand. Schakel het selectievakje "Invoerbestand is een losstaande handtekening" uit en klik op "Decoderen / Controleren."

U krijgt zeker een foutmelding als u het op deze manier doet, omdat u nog niet de moeite hebt genomen om te bevestigen die Fedora-certificaten zijn eigenlijk legitiem. Dat is een moeilijkere taak. Dit is de manier waarop PGP is ontworpen om te werken - je ontmoet bijvoorbeeld persoonlijk sleutels en kunt deze persoonlijk uitwisselen en een web van vertrouwen samenstellen. De meeste mensen gebruiken het niet op deze manier.

U kunt echter meer details bekijken en bevestigen dat het controlesombestand is ondertekend met een van de sleutels die u hebt geïmporteerd. Dit is veel beter dan alleen vertrouwen op een gedownload ISO-bestand zonder te controleren.

Nu moet u Bestand> Controlesombesturingsbestanden controleren selecteren en bevestigen dat de informatie in het controlesombestand overeenkomt met het gedownloade .iso-bestand. Dit werkte echter niet voor ons, misschien is het precies hoe Fedora's checksum-bestand is opgesteld. Toen we dit probeerden met het bestand sha256sum.txt van Linux Mint, werkte het.

Als dit niet werkt voor je Linux-distributie naar keuze, dan is dit een tijdelijke oplossing. Klik eerst op Instellingen> Kleopatra configureren. Selecteer 'Crypto-bewerkingen', selecteer 'Bestandsbewerkingen' en stel Kleopatra in om het 'sha256sum'-controlesomprogramma te gebruiken, want hiermee is deze specifieke controlesom gegenereerd. Als u een MD5-checksum hebt, selecteert u hier "md5sum" in de lijst.

Klik nu op Bestand> Checksum-bestanden maken en selecteer uw gedownloade ISO-bestand. Kleopatra genereert een controlesom van het gedownloade .iso-bestand en slaat het op in een nieuw bestand.

U kunt beide bestanden openen (het gedownloade controlesombestand en het bestand dat u zojuist hebt gegenereerd) in een teksteditor zoals Kladblok. Controleer of de controlesom identiek is in beide gevallen met uw eigen ogen. Als het identiek is, hebt u bevestigd dat er niet met uw gedownloade ISO-bestand is geknoeid.

Deze verificatiemethoden waren oorspronkelijk niet bedoeld voor bescherming tegen malware. Ze zijn ontworpen om te bevestigen dat uw ISO-bestand correct is gedownload en niet is beschadigd tijdens het downloaden, zodat u het kunt branden en gebruiken zonder u zorgen te hoeven maken. Ze zijn geen volledig waterdichte oplossing, omdat u de PGP-sleutel die u downloadt moet vertrouwen. Dit biedt echter nog veel meer zekerheid dan alleen het gebruik van een ISO-bestand zonder het te controleren.


Beeldcredits: Eduardo Quagliato op Flickr


Hoe NVIDIA G-Sync

Hoe NVIDIA G-Sync

Als u een NVIDIA grafische kaart en monitor hebt die beide NVIDIA G-Sync ondersteunen, kunt u deze gebruiken om schermscheuren te elimineren en zorgt ervoor dat de games die je speelt er beter uitzien. Wat G-Sync doet GERELATEERD: G-Sync en FreeSync uitgelegd: Variabele verversingspercentages voor gaming "Schermscheuren" is van oudsher een probleem bij het spelen Computer spelletjes.

(how-to)

Wat is de POODLE-kwetsbaarheid en hoe kunt u uzelf beschermen?

Wat is de POODLE-kwetsbaarheid en hoe kunt u uzelf beschermen?

Het is moeilijk om ons hoofd te bedenken rond al deze internetrampjes terwijl ze zich voordoen, en net zoals we dachten dat internet weer veilig was na Heartbleed en Shellshock dreigden "het leven te beëindigen zoals wij het kennen", daar komt POODLE uit. Raak er niet te druk om, want het is niet zo dreigend als het klinkt.

(how-to)

Interessante Artikelen