Vorige maand werd de website van Linux Mint gehackt en werd een gewijzigde ISO ingesteld voor downloaden met een achterdeur . Hoewel het probleem snel werd verholpen, toont dit aan hoe belangrijk het is om Linux ISO-bestanden die u downloadt te controleren voordat u ze uitvoert en installeert. Hier is hoe.
Linux-distributies publiceren checksums zodat je kunt bevestigen dat de bestanden die je download zijn wat ze beweren te zijn, en deze zijn vaak ondertekend, zodat je kunt verifiëren dat de checksums zelf niet zijn gemanipuleerd. Dit is met name handig als u een ISO downloadt van ergens anders dan de hoofdsite, zoals een externe mirror, of via BItTorrent, waar het voor mensen veel gemakkelijker is om met bestanden te knoeien.
het proces van het controleren van een ISO is een beetje ingewikkeld, dus laten we, voordat we in de exacte stappen stappen, uitleggen wat het proces precies inhoudt:
Het proces kan een beetje verschillen voor verschillende ISO's, maar meestal volgt dit algemene patroon. Er zijn bijvoorbeeld verschillende soorten checksums. Van oudsher waren MD5-bedragen het populairst. SHA-256-sommen worden tegenwoordig echter vaker gebruikt door moderne Linux-distributies, omdat SHA-256 beter bestand is tegen theoretische aanvallen. We zullen hier in de eerste plaats SHA-256-bedragen bespreken, hoewel een soortgelijk proces ook voor MD5-bedragen zal werken. Sommige Linux-distributies leveren ook SHA-1-bedragen op, hoewel deze nog minder vaak voorkomen.
PGP gebruiken is veel veiliger, maar niet onfeilbaar. De aanvaller kan die openbare sleutel nog steeds vervangen door die van hemzelf, ze kunnen je nog steeds laten denken dat de ISO legitiem is. Als de openbare sleutel echter op een andere server wordt gehost, zoals het geval is met Linux Mint, wordt dit veel minder waarschijnlijk (omdat ze twee servers moeten hacken in plaats van slechts één). Maar als de openbare sleutel op dezelfde server wordt opgeslagen als de ISO en controlesom, zoals het geval is bij sommige distributies, biedt deze niet zoveel beveiliging.
Toch, als u probeert de PGP-handtekening te verifiëren in een checksum-bestand en vervolgens het valideren van uw download met die controlesom, dat is alles wat u redelijkerwijs kunt doen als een eindgebruiker die een Linux ISO downloadt. Je bent nog steeds veel veiliger dan de mensen die niet lastig vallen.
Controleren van een controlesom op Linux
Open een terminalvenster op uw Linux-bureaublad en download de PGP-sleutel. In dit geval wordt de PGP-sleutel van Linux Mint gehost op de sleutelserver van Ubuntu en moeten we het volgende commando uitvoeren om het te krijgen.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2
De website van je Linux distro wijst je naar de sleutel die je nodig hebt.
We hebben nu alles wat we nodig hebben: de ISO, de checksum bestand, het digitale handtekeningenbestand van de checksum en de PGP-sleutel. Dus ga vervolgens naar de map die ze zijn gedownload naar ...
cd ~ / Downloads
... en voer de volgende opdracht uit om de handtekening van het controlesombestand te controleren:
gpg --verify sha256sum.txt.gpg sha256sum .txt
Als de GPG-opdracht u laat weten dat het gedownloade bestand sha256sum.txt een "goede handtekening" heeft, kunt u doorgaan. In de vierde regel van de schermafbeelding hieronder laat GPG ons weten dat dit een "goede handtekening" is die beweert geassocieerd te zijn met Clement Lefebvre, de maker van Linux Mint.
Maakt u zich geen zorgen dat de sleutel niet is gecertificeerd met een " vertrouwde handtekening. "Dit komt door de manier waarop PGP-codering werkt: u hebt geen web van vertrouwen ingesteld door sleutels van vertrouwde mensen te importeren. Deze fout komt heel vaak voor.
Tot slot, nu we weten dat de controlesom is gemaakt door de Linux Mint-beheerders, voer je de volgende opdracht uit om een controlesom te genereren uit het gedownloade .iso-bestand en te vergelijken met het gedownloade TXT-checksum-bestand :
sha256sum --check sha256sum.txt
U zult veel "niet zo'n bestand of map" -berichten zien als u slechts één ISO-bestand hebt gedownload, maar u zou een "OK" -bericht voor het bestand moeten zien je hebt het gedownload als het overeenkomt met de checksum.
Je kunt de checksum-commando's ook direct uitvoeren op een .iso-bestand. Het zal het .iso-bestand onderzoeken en de controlesom uitspugen. Je kunt het dan gewoon vergelijken met de geldige controlesom door beide met je ogen te bekijken.
Bijvoorbeeld om de SHA-256-som van een ISO-bestand te krijgen:
sha256sum /path/to/file.iso
Of, als u een md5sum-waarde heeft en het md5sum van een bestand moet krijgen:
md5sum /path/to/file.iso
Vergelijk het resultaat met het checksum TXT-bestand om te zien of ze overeenkomen.
Controleren van een controlesom op Windows
Zoek het handtekenings- en controlesombestand van je Linux distro's. We zullen Fedora hier als een voorbeeld gebruiken. De Fedora-website biedt checksum-downloads en vertelt ons dat we de Fedora-ondertekeningssleutel kunnen downloaden van //getfedora.org/static/fedora.gpg.
Nadat je deze bestanden hebt gedownload, moet je de handtekeningsleutel installeren met behulp van het Kleopatra-programma bij Gpg4win. Start Kleopatra en klik op Bestand> Certificaten importeren. Selecteer het .gpg-bestand dat u hebt gedownload.
U kunt nu controleren of het gedownloade checksum-bestand is ondertekend met een van de sleutelbestanden die u hebt geïmporteerd. Hiertoe klikt u op Bestand> Decoderen / Controleren van bestanden. Selecteer het gedownloade checksum-bestand. Schakel het selectievakje "Invoerbestand is een losstaande handtekening" uit en klik op "Decoderen / Controleren."
U krijgt zeker een foutmelding als u het op deze manier doet, omdat u nog niet de moeite hebt genomen om te bevestigen die Fedora-certificaten zijn eigenlijk legitiem. Dat is een moeilijkere taak. Dit is de manier waarop PGP is ontworpen om te werken - je ontmoet bijvoorbeeld persoonlijk sleutels en kunt deze persoonlijk uitwisselen en een web van vertrouwen samenstellen. De meeste mensen gebruiken het niet op deze manier.
U kunt echter meer details bekijken en bevestigen dat het controlesombestand is ondertekend met een van de sleutels die u hebt geïmporteerd. Dit is veel beter dan alleen vertrouwen op een gedownload ISO-bestand zonder te controleren.
Nu moet u Bestand> Controlesombesturingsbestanden controleren selecteren en bevestigen dat de informatie in het controlesombestand overeenkomt met het gedownloade .iso-bestand. Dit werkte echter niet voor ons, misschien is het precies hoe Fedora's checksum-bestand is opgesteld. Toen we dit probeerden met het bestand sha256sum.txt van Linux Mint, werkte het.
Als dit niet werkt voor je Linux-distributie naar keuze, dan is dit een tijdelijke oplossing. Klik eerst op Instellingen> Kleopatra configureren. Selecteer 'Crypto-bewerkingen', selecteer 'Bestandsbewerkingen' en stel Kleopatra in om het 'sha256sum'-controlesomprogramma te gebruiken, want hiermee is deze specifieke controlesom gegenereerd. Als u een MD5-checksum hebt, selecteert u hier "md5sum" in de lijst.
Klik nu op Bestand> Checksum-bestanden maken en selecteer uw gedownloade ISO-bestand. Kleopatra genereert een controlesom van het gedownloade .iso-bestand en slaat het op in een nieuw bestand.
U kunt beide bestanden openen (het gedownloade controlesombestand en het bestand dat u zojuist hebt gegenereerd) in een teksteditor zoals Kladblok. Controleer of de controlesom identiek is in beide gevallen met uw eigen ogen. Als het identiek is, hebt u bevestigd dat er niet met uw gedownloade ISO-bestand is geknoeid.
Deze verificatiemethoden waren oorspronkelijk niet bedoeld voor bescherming tegen malware. Ze zijn ontworpen om te bevestigen dat uw ISO-bestand correct is gedownload en niet is beschadigd tijdens het downloaden, zodat u het kunt branden en gebruiken zonder u zorgen te hoeven maken. Ze zijn geen volledig waterdichte oplossing, omdat u de PGP-sleutel die u downloadt moet vertrouwen. Dit biedt echter nog veel meer zekerheid dan alleen het gebruik van een ISO-bestand zonder het te controleren.
Beeldcredits: Eduardo Quagliato op Flickr
HTG Recensies The Romo: A Quirky Telepresence Robot Het is moeilijk om niet van te houden
Meestal bespreken we serieuze zaken hier bij How-To Geek: geavanceerde routers, streaming video-oplossingen, en andere duidelijk onwrikbare hardware. Af en toe bespreken we iets dat leuk is voor het plezier, zoals de Romo, een eigenzinnige kleine robot die verschrikkelijk moeilijk is om niet lief te hebben.
Back-up maken, wissen en herstellen van uw Apple Watch
De Apple Watch is op zich een kleine computer met gegevensback-up en beveiligingsbehoeften. Lees verder terwijl we u laten zien hoe u ervoor kunt zorgen dat er een back-up van uw Apple Watch wordt gemaakt, gewist en hersteld, net zoals u dat met uw smartphone zou doen. Of u nu wilt garanderen dat uw horloge tot op de minuut wordt ondersteund, u wil je het schoonvegen voor een verkoop of doorgeven aan een familielid, of wil je weten hoe je een back-up kunt herstellen na het resetten van je horloge en het bijwerken van het Watch OS, we zijn er om je te helpen.