Cara Mengesahkan Integriti Imej ISO Pengedaran Linux

Cara Mengesahkan Integriti Imej ISO Pengedaran Linux

Apabila kami memutuskan untuk memasang sistem operasi berdasarkan kernel Linux, perkara pertama yang kami lakukan ialah memuat turun imej pemasangannya, atau ISO, dari laman web pengedaran rasmi. Sebelum meneruskan dengan pemasangan sebenar, bagaimanapun, adalah penting untuk mengesahkan integriti imej, untuk memastikan ia adalah apa yang dikatakannya, dan tiada siapa yang telah menjejaskannya. Dalam tutorial ini kita akan melihat langkah -langkah asas yang dapat kita ikuti untuk menyelesaikan tugas ini.

Dalam tutorial ini anda akan belajar:

  • Apakah perbezaan asas antara penyulitan dan penandatangan GPG
  • Cara memuat turun dan mengimport kunci awam GPG dari pelayan utama
  • Cara mengesahkan tandatangan GPG
  • Cara Mengesahkan cek ISO
Cara Mengesahkan Integriti Imej ISO

Keperluan perisian dan konvensyen yang digunakan

Keperluan Perisian dan Konvensyen Talian Perintah Linux
Kategori Keperluan, konvensyen atau versi perisian yang digunakan
Sistem Pengedaran-bebas
Perisian GPG, SHA256SUM (harus dipasang secara lalai)
Yang lain Tiada keperluan lain
Konvensyen # - komando linux yang akan dilaksanakan dengan keistimewaan akar sama ada secara langsung sebagai pengguna root atau dengan menggunakan sudo perintah
$-Linux-Commands akan dilaksanakan sebagai pengguna yang tidak layak


Langkah -langkah yang terlibat dalam memeriksa integriti ISO yang dimuat turun pada dasarnya dua:

  1. Mengesahkan tandatangan fail yang mengandungi cek ISO
  2. Mengesahkan cek yang disediakan dalam fail adalah sama dari ISO sebenar

Di sini kita akan melihat cara melaksanakan kedua -dua langkah.

Langkah 1

Mengesahkan tandatangan GPG fail checksum

Untuk memastikan ISO yang kami muat turun tidak diubah, ada satu perkara yang mudah dilakukan: periksa bahawa ceknya sepadan dengan yang ditunjukkan dalam fail yang biasanya tersedia di halaman yang sama ISO dimuat turun dari. Hanya ada satu masalah: bagaimana kita dapat memastikan bahawa fail ini sendiri belum diubah? Kita mesti memeriksa tandatangan GPGnya! Dengan cara ini, apakah tandatangan GPG dan apakah perbezaan antara menandatangani dan menyulitkan dengan GPG?

Menyulitkan vs menandatangani

Penyulitan GPG berdasarkan penggunaan pasangan utama. Setiap pengguna menjana kunci peribadi dan awam: bekas, seperti namanya, adalah peribadi, dan mesti disimpan secepat mungkin; yang terakhir, sebaliknya, boleh diedarkan dan diakses secara bebas oleh orang ramai. Pada dasarnya terdapat dua perkara yang boleh kita lakukan dengan GPG: menyulitkan dan menandatangani.

Katakan kita mempunyai dua orang: Alice dan Bob. Sekiranya mereka ingin mendapat manfaat daripada penggunaan GPG, perkara pertama yang mesti mereka lakukan ialah menukar kunci awam mereka.

Sekiranya Alice mahu menghantar mesej peribadi kepada Bob, dan ingin memastikan bahawa hanya Bob dapat membaca mesej itu, dia mesti menyulitkannya dengan kunci awam Bob. Setelah mesej disulitkan hanya kunci peribadi Bob akan dapat menyahsulitnya.

Iaitu penyulitan GPG; Perkara lain yang boleh kita lakukan dengan GPG adalah untuk membuat tandatangan digital. Katakan Alice ingin mengedarkan mesej awam kali ini: setiap orang harus dapat membacanya, tetapi kaedah diperlukan untuk mengesahkan bahawa mesej itu sahih dan benar -benar ditulis oleh Alice. Dalam kes ini, Alice harus menggunakan kunci persendiriannya untuk menjana a tandatangan digital; Untuk mengesahkan tandatangan Alice, Bob, (atau orang lain) menggunakan kunci awam Alice.



Contoh dunia nyata - memuat turun dan mengesahkan Ubuntu 20.04 ISO

Apabila kita memuat turun ISO dari laman web rasmi kita juga harus memuat turun, untuk mengesahkannya, kita juga harus memuat turun fail checksum yang sepadan dan tandatangannya. Mari buat contoh dunia nyata. Katakan kami ingin memuat turun dan mengesahkan ISO versi terkini Ubuntu (20.04). Kami menavigasi ke halaman pelepasan dan tatal ke bahagian bawah halaman; Di sana kami akan menemui senarai fail yang boleh dimuat turun:

Ubuntu 20.04 Halaman Siaran

Sekiranya kami ingin mengesahkan dan memasang versi "desktop" pengedaran, kami harus mengambil fail berikut:

  • Ubuntu-20.04-DESKTOP-AMD64.ISO
  • SHA256SUMS
  • SHA256SUMS.GPG

Fail pertama ialah imej pengedaran itu sendiri; fail kedua, SHA256SUMS, Mengandungi cek semua imej yang ada, dan telah kami katakan perlu mengesahkan bahawa imej belum diubah suai. Fail ketiga, SHA256SUM.GPG Mengandungi tandatangan digital yang sebelumnya: kami menggunakannya untuk mengesahkan bahawa ia adalah sahih.

Sebaik sahaja kita memuat turun semua fail, perkara pertama yang perlu kita lakukan ialah mengesahkan tandatangan GPG fail checksum. Untuk melakukan itu, kita mesti menggunakan arahan berikut:

GPG --Verify SHA256SUMS.GPG SHA256SUMS 

Apabila lebih daripada satu hujah diberikan kepada GPG --Sahkan perintah, yang pertama dianggap sebagai fail yang mengandungi tandatangan dan yang lain mengandungi data yang ditandatangani, yang dalam hal ini adalah cek imej Ubuntu. Sekiranya pengedaran yang sedang kami kerjakan bukanlah Ubuntu, dan ini adalah kali pertama kami menyemak imej Ubuntu, perintah itu harus mengembalikan hasil berikut:

GPG: Tandatangan Made THU 23 Apr 2020 03:46:21 PM CEST GPG: Menggunakan Kunci RSA D94AA3F0EFE21092 GPG: Tidak Dapat Memeriksa Tandatangan: Tiada Kunci Awam 


Mesejnya jelas: GPG tidak dapat mengesahkan tandatangan kerana kami tidak mempunyai kunci awam yang berkaitan dengan kunci persendirian yang digunakan untuk menandatangani data. Di mana kita boleh mendapatkan kunci? Cara paling mudah ialah memuat turunnya dari a Keyserver: dalam kes ini kita akan menggunakan Keyserver.Ubuntu.com. Untuk memuat turun kunci dan mengimportnya dalam keyring kami, kami boleh menjalankan:

$ GPG -Keyserver Keyserver.Ubuntu.com--Recv-Keys D94AA3F0EFE21092 

Mari luangkan masa untuk menerangkan arahan di atas. Dengan -Keyserver Pilihan, kami menetapkan Keyserver yang ingin kami gunakan; The -RECV-KEYS pilihan, sebaliknya, mengambil a Key-ID sebagai hujah, dan diperlukan untuk merujuk kunci yang harus diimport dari kunci. Dalam kes ini, ID kunci yang ingin kita cari dan diimport adalah D94AA3F0EFE21092. Perintah harus menghasilkan output ini:

GPG: Kunci D94AA3F0EFE21092: Kunci Awam "Ubuntu CD Image Automatic Signati 

Kami boleh mengesahkan kunci kini berada dalam keyring kami dengan melancarkan arahan berikut:

$ gpg-list-keys 

Kita harus dengan mudah mencari entri relatif kepada kunci yang diimport:

Pub RSA4096 2012-05-11 [SC] 843938DF228D222F7B3742BC0D94AA3F0EFE21092 UID [Unknown] Ubuntu CD Image Automatic Key (2012)  

Sekarang kita mengimport kunci awam, kita boleh menjalani hukuman untuk mengesahkan SHA256SUM Tandatangan:

GPG --Verify SHA256SUMS.GPG SHA256SUMS 

Kali ini, seperti yang dijangkakan, perintah itu berjaya, dan kami diberitahu tentang tandatangan yang baik:

GPG: Tandatangan Made Thu 23 Apr 2020 03:46:21 PM CEST GPG: Menggunakan Kunci RSA D94AA3F0EFE21092 GPG: Tandatangan Baik Dari "Ubuntu CD Image Automatic Signing Key (2012)" [Unknown] GPG: tandatangan yang dipercayai! GPG: Tidak ada petunjuk bahawa tandatangan milik pemiliknya. Cap jari utama utama: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092 


Membaca output di atas, soalan hampir pasti akan timbul: Apa yang berlaku "Tidak ada petunjuk bahawa tandatangan milik pemiliknya" bermaksud mesej? Mesej itu muncul kerana walaupun kami mengimport kunci dalam keyring kami, kami tidak mengisytiharkannya sebagai dipercayai, dan tidak ada bukti sebenar bahawa ia adalah milik pemilik yang ditentukan. Untuk menghilangkan mesej, kita mesti mengisytiharkan bahawa kita mempercayai kunci; bagaimana kita dapat memastikan ia sebenarnya dipercayai? Terdapat dua cara:

  1. Secara peribadi mengesahkan kunci milik pengguna atau entiti yang ditentukan;
  2. Periksa bahawa ia telah ditandatangani oleh kunci yang sudah kita percayai, secara langsung atau melalui satu siri kunci pertengahan.

Selain itu, terdapat pelbagai tahap kepercayaan yang boleh kita tetapkan kepada kunci; Sekiranya anda berminat dengan subjek ini (anda pasti sepatutnya!), dan ingin mengetahui lebih lanjut mengenainya, Buku Panduan Privasi GNU adalah sumber maklumat yang baik.

Langkah 1

Mengesahkan checksum imej

Sekarang kita mengesahkan bahawa SHA256SUM Tandatangan adalah OK, kita sebenarnya boleh meneruskan dan mengesahkan bahawa cek imej yang dimuat turun, sepadan dengan yang sebenarnya disimpan dalam fail, yang mempunyai kandungan berikut:

E5B72E9CFE20988991C9CD87BDE43C0B691E3B67B01F76D23F8150615883CE11 *Ubuntu-20.04-DESKTOP-AMD64.ISO CAF3FD69C77C439F162E2BA6040E9C320C4FF0D69AAD1340A514319A9264DF9F *Ubuntu-20.04-Live-Server-AMD64.ISO 

Seperti yang anda lihat pada setiap baris fail kami mempunyai cek yang berkaitan dengan gambar. Dengan mengandaikan SHA256SUM fail terletak di direktori yang sama di mana ubuntu 20.04 Imej dimuat turun, untuk mengesahkan integriti ISO, yang perlu kita lakukan ialah menjalankan arahan berikut:

$ SHA256SUM -C SHA256SUM 


SHA256SUM adalah program yang digunakan untuk mengira dan juga menyemak mesej sha256 yang dicerna. Dalam kes ini kami melancarkannya menggunakan -c pilihan, yang pendek untuk --periksa. Apabila pilihan ini digunakan, ia mengarahkan program untuk membaca checksums yang disimpan dalam fail yang diluluskan sebagai hujah (dalam kes ini SHA256SUM) dan sahkannya untuk kemasukan yang berkaitan. Output arahan di atas, dalam kes ini, adalah berikut:

Ubuntu-20.04-DESKTOP-AMD64.ISO: ok sha256sum: ubuntu-20.04-Live-Server-AMD64.ISO: Tiada fail atau direktori Ubuntu-20.04-Live-Server-AMD64.ISO: Gagal Terbuka atau Baca SHA256SUM: Amaran: 1 Fail yang disenaraikan tidak dapat dibaca 

Dari output kita dapat melihat bahawa Ubuntu-20.04-DESKTOP-AMD64.ISO ISO telah disahkan, dan checksumnya sepadan dengan yang ditunjukkan dalam fail. Kami juga diberitahu bahawa mustahil untuk membaca dan mengesahkan pemeriksaan Ubuntu-20.04-Live-Server-AMD64.ISO Imej: Ini masuk akal, kerana kita tidak pernah memuat turunnya.

Kesimpulan

Dalam tutorial ini, kami belajar bagaimana untuk mengesahkan ISO yang dimuat turun: Kami belajar bagaimana untuk memeriksa bahawa checksumnya sepadan dengan yang disediakan dalam fail checksum, dan bagaimana untuk memeriksa tandatangan GPG yang kedua adalah baik. Untuk memeriksa tandatangan GPG, kami memerlukan kunci awam yang sepadan dengan persendirian yang menghasilkannya: Dalam tutorial kami juga melihat cara memuat turun kunci awam dari kekunci, dengan menyatakan IDnya.

Tutorial Linux Berkaitan:

  • Cara Gunung ISO di Linux
  • Perkara yang hendak dipasang di Ubuntu 20.04
  • Pengenalan kepada Automasi, Alat dan Teknik Linux
  • Cara Membuka Fail ISO di Ubuntu Linux
  • Perkara yang perlu dilakukan setelah memasang ubuntu 20.04 Focal Fossa Linux
  • Cara menjana dan membuat sandaran keypair GPG di Linux
  • Mint 20: Lebih baik daripada Ubuntu dan Microsoft Windows?
  • Cara Dual Boot Kali Linux dan Windows 10
  • Muat turun linux
  • Ubuntu 20.04 Trik dan Perkara yang Anda Tidak Tahu