Cách xác minh kiểm tra ISO của Linux và xác nhận nó không bị giả mạo

Tháng trước, trang web của Linux Mint đã bị hack và một ISO được sửa đổi đã được đưa lên để tải xuống bao gồm một cửa hậu. Mặc dù sự cố đã được khắc phục nhanh chóng, nhưng nó cho thấy tầm quan trọng của việc kiểm tra các tệp ISO Linux mà bạn tải xuống trước khi chạy và cài đặt chúng. Đây là cách.

Các bản phân phối Linux xuất bản tổng kiểm tra để bạn có thể xác nhận các tệp bạn tải xuống là những gì họ tuyên bố là và chúng thường được ký để bạn có thể xác minh các tổng kiểm tra đã không bị giả mạo. Điều này đặc biệt hữu ích nếu bạn tải xuống ISO từ một nơi khác ngoài trang web chính - như gương của bên thứ ba hoặc thông qua BItTorrent, nơi mọi người dễ dàng giả mạo các tệp hơn.

Quá trình này hoạt động như thế nào

Quá trình kiểm tra ISO hơi phức tạp, vì vậy trước khi chúng tôi đi vào các bước chính xác, hãy giải thích chính xác quy trình đòi hỏi gì:

1. Bạn sẽ tải xuống tệp ISO Linux từ trang web của nhà phân phối Linux - hoặc ở nơi khác - như thường lệ.
2. Bạn sẽ tải xuống một tổng kiểm tra và chữ ký số của nó từ trang web của nhà phân phối Linux. Đây có thể là hai tệp TXT riêng biệt hoặc bạn có thể nhận được một tệp TXT duy nhất chứa cả hai phần dữ liệu.
3. Bạn sẽ nhận được khóa PGP công khai thuộc về bản phân phối Linux. Bạn có thể lấy cái này từ trang web của nhà phân phối Linux hoặc một máy chủ khóa riêng được quản lý bởi cùng một người, tùy thuộc vào bản phân phối Linux của bạn.
4. Bạn sẽ sử dụng khóa PGP để xác minh rằng chữ ký số của tổng kiểm tra đã được tạo bởi cùng một người đã tạo khóa - trong trường hợp này, những người duy trì phân phối Linux đó. Điều này xác nhận bản thân tổng kiểm tra đã không bị giả mạo.
5. Bạn sẽ tạo tổng kiểm tra tệp ISO đã tải xuống của mình và xác minh nó phù hợp với tệp TXT tổng kiểm tra mà bạn đã tải xuống. Điều này xác nhận tệp ISO không bị giả mạo hoặc bị hỏng.

Quá trình có thể khác nhau một chút đối với các ISO khác nhau, nhưng nó thường tuân theo mô hình chung đó. Ví dụ, có một số loại tổng kiểm khác nhau. Theo truyền thống, tổng MD5 là phổ biến nhất. Tuy nhiên, số tiền SHA-256 hiện được sử dụng thường xuyên hơn bởi các bản phân phối Linux hiện đại, vì SHA-256 có khả năng chống lại các cuộc tấn công lý thuyết nhiều hơn. Chúng ta sẽ chủ yếu thảo luận về các khoản tiền SHA-256 ở đây, mặc dù một quy trình tương tự sẽ hoạt động đối với các khoản tiền MD5. Một số bản phân phối Linux cũng có thể cung cấp khoản tiền SHA-1, mặc dù những bản này thậm chí còn ít phổ biến hơn.

Tương tự, một số distro không ký séc của họ với PGP. Bạn sẽ chỉ cần thực hiện các bước 1, 2 và 5, nhưng quá trình này dễ bị tổn thương hơn nhiều. Rốt cuộc, nếu kẻ tấn công có thể thay thế tệp ISO để tải xuống, họ cũng có thể thay thế tổng kiểm tra.

Sử dụng PGP an toàn hơn nhiều, nhưng không thể đánh lừa được. Kẻ tấn công vẫn có thể thay thế khóa công khai đó bằng khóa riêng của chúng, chúng vẫn có thể lừa bạn nghĩ rằng ISO là hợp pháp. Tuy nhiên, nếu khóa chung được lưu trữ trên một máy chủ khác - như trường hợp của Linux Mint - điều này sẽ trở nên ít khả năng hơn (vì họ phải hack hai máy chủ thay vì chỉ một). Nhưng nếu khóa chung được lưu trữ trên cùng một máy chủ với ISO và tổng kiểm tra, như trường hợp với một số bản phát hành, thì nó không cung cấp bảo mật nhiều như vậy.

Tuy nhiên, nếu bạn đang cố xác minh chữ ký PGP trên tệp tổng kiểm tra và sau đó xác thực bản tải xuống của bạn với tổng kiểm tra đó, đó là tất cả những gì bạn có thể làm một cách hợp lý khi người dùng cuối tải xuống Linux ISO. Bạn vẫn an toàn hơn nhiều so với những người không bận tâm.

Cách xác minh tổng kiểm tra trên Linux

Chúng tôi sẽ sử dụng Linux Mint làm ví dụ ở đây, nhưng bạn có thể cần tìm kiếm trang web phân phối Linux của mình để tìm các tùy chọn xác minh mà nó cung cấp. Đối với Linux Mint, hai tệp được cung cấp cùng với tải xuống ISO trên các gương tải xuống của nó. Tải xuống ISO, sau đó tải xuống các tệp tin sha256sum.txt và và các trang web sha256sum.txt.gpg vào máy tính của bạn. Nhấp chuột phải vào các tập tin và chọn Liên kết Lưu Lưu như As để tải chúng xuống.

Trên máy tính để bàn Linux của bạn, mở một cửa sổ đầu cuối và tải xuống khóa PGP. Trong trường hợp này, khóa PGP của Linux Mint được lưu trữ trên máy chủ khóa của Ubuntu và chúng tôi phải chạy lệnh sau để có được nó.

gpg --keyserver hkp: //keyserver.ubfox.com --recv-key 0FF405B2

Trang web phân phối Linux của bạn sẽ hướng bạn đến khóa bạn cần.

Bây giờ chúng ta có mọi thứ chúng ta cần: ISO, tệp tổng kiểm tra, tệp chữ ký số của tổng kiểm tra và khóa PGP. Vì vậy, tiếp theo, hãy thay đổi thư mục mà họ đã tải xuống

cd ~ / Tải xuống

Cách và chạy lệnh sau để kiểm tra chữ ký của tệp tổng kiểm tra:

gpg - xác minh sha256sum.txt.gpg sha256sum.txt

Nếu lệnh GPG cho bạn biết rằng tệp sha256sum.txt đã tải xuống có một chữ ký tốt, thì bạn có thể tiếp tục. Trong dòng thứ tư của ảnh chụp màn hình bên dưới, GPG thông báo cho chúng tôi rằng đây là một chữ ký tốt của Hồi giáo, người tuyên bố có liên quan đến Clement Lefebvre, người tạo ra Linux Mint.

Đừng lo lắng rằng khóa không được chứng nhận bằng chữ ký tin cậy của người dùng. Điều này là do cách mã hóa PGP hoạt động - bạn chưa thiết lập một trang web tin cậy bằng cách nhập khóa từ những người đáng tin cậy. Lỗi này sẽ rất phổ biến.

Cuối cùng, bây giờ chúng ta biết tổng kiểm tra được tạo bởi các nhà bảo trì Linux Mint, hãy chạy lệnh sau để tạo tổng kiểm tra từ tệp .iso đã tải xuống và so sánh với tệp TXT mà bạn đã tải xuống:

sha256sum - kiểm tra sha256sum.txt

Bạn sẽ thấy rất nhiều thư không có tệp hoặc thư mục nào như vậy nếu bạn chỉ tải xuống một tệp ISO duy nhất, nhưng bạn sẽ thấy một thông báo của OK OK cho tệp bạn đã tải xuống nếu nó phù hợp với tổng kiểm tra.

Bạn cũng có thể chạy các lệnh tổng kiểm tra trực tiếp trên tệp .iso. Nó sẽ kiểm tra tệp .iso và nhổ tổng kiểm tra của nó. Sau đó, bạn có thể kiểm tra xem nó có khớp với tổng kiểm tra hợp lệ hay không bằng cách nhìn vào cả hai bằng mắt của bạn.

Ví dụ: để lấy tổng SHA-256 của tệp ISO:

sha256sum /path/to/file.iso

Hoặc, nếu bạn có giá trị md5sum và cần lấy md5sum của tệp:

md5sum /path/to/file.iso

So sánh kết quả với tệp TXT tổng kiểm tra để xem chúng có khớp không.

Cách xác minh tổng kiểm tra trên Windows

Nếu bạn đang tải xuống Linux ISO từ máy Windows, bạn cũng có thể xác minh tổng kiểm tra ở đó - mặc dù Windows không có phần mềm cần thiết tích hợp sẵn. Vì vậy, bạn sẽ cần tải xuống và cài đặt công cụ Gpg4win nguồn mở.

Xác định vị trí tệp khóa ký và bản kiểm tra Linux của distro của bạn. Chúng tôi sẽ sử dụng Fedora làm ví dụ ở đây. Trang web của Fedora cung cấp tải xuống tổng kiểm tra và cho chúng tôi biết chúng tôi có thể tải xuống khóa ký tên Fedora từ https://getfedora.org/static/fedora.gpg.

Sau khi bạn đã tải xuống các tệp này, bạn sẽ cần cài đặt khóa ký bằng chương trình Kleopatra có trong Gpg4win. Khởi chạy Kleopatra và nhấp vào Tệp> Nhập Chứng chỉ. Chọn tệp .gpg bạn đã tải xuống.

Bây giờ bạn có thể kiểm tra xem tệp tổng kiểm tra đã tải xuống có được ký với một trong các tệp chính bạn đã nhập không. Để làm như vậy, nhấp vào Tệp> Giải mã / Xác minh tệp. Chọn tệp tổng kiểm tra đã tải xuống. Bỏ chọn tệp Nhập dữ liệu là một tùy chọn chữ ký tách rời và nhấp vào Giải mã / Xác minh.

Bạn chắc chắn sẽ thấy một thông báo lỗi nếu bạn làm theo cách này, vì bạn đã không gặp phải rắc rối khi xác nhận các chứng chỉ Fedora đó là thực sự hợp pháp. Đó là một nhiệm vụ khó khăn hơn. Đây là cách PGP được thiết kế để hoạt động - ví dụ như bạn gặp gỡ và trao đổi khóa và kết nối một mạng lưới tin cậy. Hầu hết mọi người không sử dụng nó theo cách này.

Tuy nhiên, bạn có thể xem thêm chi tiết và xác nhận rằng tệp tổng kiểm tra đã được ký bằng một trong các khóa bạn đã nhập. Điều này tốt hơn nhiều so với việc chỉ tin tưởng một tệp ISO đã tải xuống mà không cần kiểm tra.

Bây giờ bạn có thể chọn Tệp> Xác minh tệp tổng kiểm tra và xác nhận thông tin trong tệp tổng kiểm tra khớp với tệp .iso đã tải xuống. Tuy nhiên, điều này không hiệu quả với chúng tôi - có lẽ đó chỉ là cách tập tin tổng kiểm tra của Fedora được trình bày. Khi chúng tôi thử điều này với tệp sha256sum.txt của Linux Mint, nó đã hoạt động.

Nếu điều này không hiệu quả đối với phân phối Linux mà bạn lựa chọn, thì đây là một cách giải quyết. Đầu tiên, nhấp vào Cài đặt> Cấu hình Kleopatra. Chọn các hoạt động mã hóa của Crypto, chọn một số hoạt động của tập tin điện tử, và chọn Kleopatra để sử dụng chương trình tổng kiểm tra của sha256sum, vì đó là những gì tổng kiểm tra cụ thể này được tạo ra. Nếu bạn có tổng kiểm tra MD5, hãy chọn Md5sum, trong danh sách tại đây.

Bây giờ, nhấp vào Tệp> Tạo tệp tổng kiểm tra và chọn tệp ISO đã tải xuống của bạn. Kleopatra sẽ tạo một tổng kiểm tra từ tệp .iso đã tải xuống và lưu nó vào một tệp mới.

Bạn có thể mở cả hai tệp này - tệp tổng kiểm tra đã tải xuống và tệp bạn vừa tạo - trong trình chỉnh sửa văn bản như Notepad. Xác nhận tổng kiểm tra là giống hệt nhau trong cả hai mắt của bạn. Nếu giống hệt nhau, bạn đã xác nhận tệp ISO đã tải xuống của mình không bị giả mạo.

---

Các phương pháp xác minh ban đầu không nhằm mục đích bảo vệ chống phần mềm độc hại. Chúng được thiết kế để xác nhận rằng tệp ISO của bạn được tải xuống chính xác và không bị hỏng trong quá trình tải xuống, vì vậy bạn có thể ghi và sử dụng nó mà không phải lo lắng. Chúng không phải là một giải pháp hoàn toàn hoàn hảo, vì bạn phải tin vào khóa PGP mà bạn tải xuống. Tuy nhiên, điều này vẫn mang lại sự đảm bảo hơn nhiều so với việc chỉ sử dụng tệp ISO mà không kiểm tra nó.

Tín dụng hình ảnh: Eduardo Quagliato trên Flickr