So überprüfen Sie die Checksumme eines Linux-ISO und bestätigen Sie, dass es nicht manipuliert wurde

Letzten Monat wurde die Website von Linux Mint gehackt und eine modifizierte ISO wurde zum Download bereitgestellt, die eine Hintertür enthielt. Obwohl das Problem schnell behoben wurde, zeigt es, wie wichtig es ist, heruntergeladene Linux-ISO-Dateien zu überprüfen, bevor sie ausgeführt und installiert werden. Hier ist wie.

Linux-Distributionen veröffentlichen Prüfsummen, so dass Sie bestätigen können, dass die heruntergeladenen Dateien genau das sind, was sie vorgeben, und diese werden oft signiert, sodass Sie überprüfen können, ob die Prüfsummen selbst manipuliert wurden. Dies ist besonders nützlich, wenn Sie ein ISO-Dokument von einem anderen Ort als der Haupt-Site herunterladen - wie beispielsweise ein Spiegel eines Drittanbieters oder über BItTorrent, wo es für Personen viel einfacher ist, Dateien zu manipulieren.

Wie dieser Prozess funktioniert

Der Prozess der ISO-Überprüfung ist ein wenig komplex. Bevor wir uns den genauen Schritten zuwenden, wollen wir Ihnen genau erklären, was der Prozess beinhaltet:

1. Sie laden die Linux-ISO-Datei von der Linux-Distribution herunterwoanders - wie immer.
2. Sie laden eine Prüfsumme und ihre digitale Signatur von der Website der Linux-Distribution herunter. Dies können zwei separate TXT-Dateien sein, oder Sie erhalten eine einzelne TXT-Datei, die beide Daten enthält.
3. Sie erhalten einen öffentlichen PGP-Schlüssel, der zur Linux-Distribution gehört. Sie können dies von der Website der Linux-Distribution oder von einem separaten Schlüsselserver erhalten, der von denselben Personen verwaltet wird, abhängig von Ihrer Linux-Distribution.
4. Sie verwenden den PGP-Schlüssel, um zu verifizieren, dass die digitale Signatur der Prüfsumme von derselben Person erstellt wurde, die den Schlüssel erstellt hat - in diesem Fall den Betreuern dieser Linux-Distribution. Dies bestätigt, dass die Prüfsumme selbst nicht manipuliert wurde.
5. Sie erzeugen die Prüfsumme Ihrer heruntergeladenen ISO-Datei und überprüfen, ob sie mit der Prüfsummen-TXT-Datei übereinstimmt, die Sie heruntergeladen haben. Dies bestätigt, dass die ISO-Datei nicht manipuliert oder beschädigt wurde.

Der Prozess kann bei verschiedenen ISOs ein wenig abweichen, folgt jedoch normalerweise diesem allgemeinen Muster. Zum Beispiel gibt es verschiedene Arten von Prüfsummen. Traditionell waren MD5-Summen die beliebtesten. Allerdings werden SHA-256-Summen jetzt häufiger von modernen Linux-Distributionen verwendet, da SHA-256 gegenüber theoretischen Angriffen resistenter ist. Wir werden hier hauptsächlich SHA-256-Summen diskutieren, obwohl ein ähnlicher Prozess für MD5-Summen funktioniert. Einige Linux-Distributionen können auch SHA-1-Summen bereitstellen, obwohl diese noch seltener sind.

In ähnlicher Weise signieren einige Distributionen ihre Prüfsummen nicht mit PGP.Sie müssen nur die Schritte 1, 2 und 5 ausführen, aber der Prozess ist viel anfälliger. Wenn der Angreifer die ISO-Datei zum Download ersetzen kann, kann er auch die Prüfsumme ersetzen.

Die Verwendung von PGP ist viel sicherer, aber nicht idiotensicher. Der Angreifer könnte diesen öffentlichen Schlüssel dennoch durch seinen eigenen ersetzen, er könnte Sie immer noch dazu bringen, zu glauben, dass die ISO-Norm richtig ist. Wenn der öffentliche Schlüssel jedoch auf einem anderen Server gehostet wird, wie dies bei Linux Mint der Fall ist, wird dies viel weniger wahrscheinlich( da zwei Server statt nur einer gehackt werden müssten).Wenn der öffentliche Schlüssel jedoch wie bei einigen Distributionen auf demselben Server wie der ISO und der Prüfsumme gespeichert ist, bietet er nicht so viel Sicherheit.

Wenn Sie dennoch versuchen, die PGP-Signatur in einer Prüfsummendatei zu verifizieren und dann Ihren Download mit dieser Prüfsumme zu validieren, können Sie dies vernünftigerweise tun, wenn ein Endbenutzer eine Linux-ISO herunterlädt. Du bist immer noch viel sicherer als die Leute, die nicht stören.

So überprüfen Sie eine Prüfsumme unter Linux

Wir verwenden hier Linux Mint als Beispiel, aber Sie müssen möglicherweise auf der Website Ihrer Linux-Distribution nach den verfügbaren Verifizierungsoptionen suchen. Für Linux Mint werden zwei Dateien zusammen mit dem ISO-Download auf seinen Download-Mirrors bereitgestellt. Laden Sie das ISO herunter, und laden Sie dann die Dateien "sha256sum.txt" und "sha256sum.txt.gpg" auf Ihren Computer herunter. Klicken Sie mit der rechten Maustaste auf die Dateien und wählen Sie "Link speichern unter", um sie herunterzuladen.

Öffnen Sie auf Ihrem Linux-Desktop ein Terminalfenster und laden Sie den PGP-Schlüssel herunter. In diesem Fall wird der PGP-Schlüssel von Linux Mint auf dem Schlüsselserver von Ubuntu gehostet, und wir müssen den folgenden Befehl ausführen, um ihn zu erhalten.

gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

Die Website Ihrer Linux-Distribution weist Sie auf den Schlüssel hin, den Sie benötigen.

Wir haben jetzt alles, was wir brauchen: Die ISO, die Prüfsummendatei, die digitale Signaturdatei der Prüfsumme und den PGP-Schlüssel. Als nächstes wechseln Sie in den Ordner, in den sie heruntergeladen wurden. ..

cd ~ / Downloads

. .. und führen Sie den folgenden Befehl aus, um die Signatur der Prüfsummendatei zu überprüfen:

gpg --verify sha256sum.txt.gpg sha256sum.txt

Wenn der Befehl GPG Sie darüber informiert, dass die heruntergeladene Datei sha256sum.txt eine "gute Signatur" hat, können Sie fortfahren. In der vierten Zeile des Screenshots informiert GPG uns, dass dies eine "gute Signatur" ist, die behauptet, mit Clement Lefebvre, dem Schöpfer von Linux Mint, in Verbindung gebracht zu werden.

Machen Sie sich keine Sorgen, dass der Schlüssel nicht mit einer "vertrauenswürdigen Signatur" zertifiziert ist. Dies liegt an der Funktionsweise der PGP-Verschlüsselung - Sie haben kein vertrauenswürdiges Web eingerichtet, indem Sie Schlüssel von vertrauenswürdigen Personen importieren. Dieser Fehler wird sehr häufig auftreten.

Zuletzt, da wir wissen, dass die Prüfsumme von den Linux Mint Maintainern erstellt wurde, führen Sie den folgenden Befehl aus, um eine Prüfsumme aus der heruntergeladenen ISO-Datei zu generieren und diese mit der heruntergeladenen Prüfsummen-TXT-Datei zu vergleichen:

sha256sum --check sha256sum.txt

Wenn Sie nur eine einzelne ISO-Datei heruntergeladen haben, sehen Sie eine Menge "Keine solche Datei oder Verzeichnis" -Nachrichten, aber Sie sollten eine "OK" -Meldung für die heruntergeladene Datei sehen, wenn sie mit der Prüfsumme übereinstimmt.

Sie können die Prüfsummenbefehle auch direkt in einer ISO-Datei ausführen. Es untersucht die. iso-Datei und spuckt ihre Prüfsumme aus. Sie können dann überprüfen, ob es mit der gültigen Prüfsumme übereinstimmt, indem Sie beide mit Ihren Augen betrachten.

Um zum Beispiel die SHA-256-Summe einer ISO-Datei zu erhalten:

sha256sum /path/to/ file.iso

Oder, wenn Sie einen md5sum-Wert haben und die md5sum einer Datei erhalten müssen:

md5sum /path/to/ file.iso

Vergleichen Sie dieErgebnis mit der Prüfsummen-TXT-Datei, um festzustellen, ob sie übereinstimmen.

So überprüfen Sie eine Prüfsumme unter Windows

Wenn Sie eine Linux-ISO von einer Windows-Maschine herunterladen, können Sie dort auch die Prüfsumme überprüfen - obwohl Windows nicht über die erforderliche Software verfügt. Also müssen Sie das Open-Source-Tool Gpg4win herunterladen und installieren.

Suchen Sie die Signaturschlüssel- und Prüfsummendateien Ihrer Linux-Distribution. Wir verwenden hier Fedora als Beispiel. Fedoras Website bietet Prüfsummen-Downloads und sagt uns, dass wir den Fedora-Signaturschlüssel von https: //getfedora.org/static/ fedora.gpg herunterladen können.

Nachdem Sie diese Dateien heruntergeladen haben, müssen Sie den Signaturschlüssel mit dem in Gpg4win enthaltenen Kleopatra-Programm installieren. Starte Kleopatra und klicke auf Datei & gt;Zertifikate importierenWählen Sie die heruntergeladene. pgg-Datei aus.

Sie können jetzt prüfen, ob die heruntergeladene Prüfsummen-Datei mit einer der importierten Schlüsseldateien signiert wurde. Klicken Sie dazu auf Datei & gt;Dateien entschlüsseln / verifizieren. Wählen Sie die heruntergeladene Prüfsummendatei aus. Deaktivieren Sie die Option "Eingabedatei ist eine getrennte Signatur" und klicken Sie auf "Entschlüsseln / Verifizieren".

Sie werden sicher eine Fehlermeldung sehen, wenn Sie dies tun, da Sie sich nicht die Mühe gemacht haben, diese Fedora zu bestätigenZertifikate sind tatsächlich legitim. Das ist eine schwierigere Aufgabe. So funktioniert PGP - Sie treffen sich beispielsweise persönlich und tauschen Schlüssel persönlich aus und stellen ein Vertrauensnetz zusammen. Die meisten Leute benutzen es nicht auf diese Weise.

Sie können jedoch weitere Details anzeigen und sicherstellen, dass die Prüfsummendatei mit einem der importierten Schlüssel signiert wurde. Dies ist viel besser, als einer heruntergeladenen ISO-Datei zu vertrauen, ohne sie zu überprüfen.

Sie sollten nun Datei & gt;Überprüfen Sie Checksum-Dateien und bestätigen Sie, dass die Informationen in der Prüfsummendatei mit der heruntergeladenen ISO-Datei übereinstimmen. Das hat aber bei uns nicht funktioniert - vielleicht ist es nur die Art, wie Fedoras Prüfsummendatei angelegt ist. Als wir dies mit der sha256sum.txt-Datei von Linux Mint versuchten, funktionierte es.

Wenn dies für Ihre bevorzugte Linux-Distribution nicht funktioniert, finden Sie hier eine Problemumgehung. Klicken Sie zuerst auf Einstellungen & gt;Konfigurieren Sie Kleopatra. Wählen Sie "Crypto Operations", wählen Sie "File Operations" und stellen Sie Kleopatra auf das Prüfsummenprogramm "sha256sum" ein, da diese Prüfsumme mit dieser erzeugt wurde. Wenn Sie eine MD5-Prüfsumme haben, wählen Sie hier "md5sum" in der Liste.

Klicken Sie nun auf Datei & gt;Erstellen Sie Prüfsummen-Dateien und wählen Sie Ihre heruntergeladene ISO-Datei aus. Kleopatra erzeugt eine Prüfsumme aus der heruntergeladenen ISO-Datei und speichert sie in einer neuen Datei.

Sie können beide Dateien - die heruntergeladene Prüfsummendatei und die gerade erstellte Datei - in einem Texteditor wie Notepad öffnen. Vergewissern Sie sich, dass die Prüfsumme in beiden Augen identisch ist. Wenn es identisch ist, haben Sie bestätigt, dass Ihre heruntergeladene ISO-Datei nicht manipuliert wurde.

Diese Verifizierungsmethoden waren ursprünglich nicht zum Schutz vor Malware gedacht. Sie wurden entwickelt, um zu bestätigen, dass Ihre ISO-Datei korrekt heruntergeladen wurde und während des Downloads nicht beschädigt wurde, sodass Sie sie ohne Bedenken brennen und verwenden können. Sie sind keine absolut narrensichere Lösung, da Sie dem PGP-Schlüssel vertrauen müssen, den Sie herunterladen. Dies bietet jedoch viel mehr Sicherheit, als nur eine ISO-Datei zu verwenden, ohne sie zu prüfen.

Bildcredit: Eduardo Quagliato auf Flickr