Linux como verificar a soma de verificação de uma ISO do Linux e confirmar se ela não foi adulterada? Como este processo funciona? O processo de verificação de uma ISO é um pouco complexo. Uma soma de verificação é um dado de tamanho pequeno de um bloco de dados digitais com o objetivo de detectar erros que podem ter sido introduzidos durante sua transmissão ou armazenamento. Portanto, uma soma de verificação é uma longa sequência de dados que contém várias letras e números. Você geralmente os encontra ao baixar arquivos da Web, por exemplo Imagens de distribuição do Linux, pacotes de software etc. O uso mais comum de somas de verificação é para verificar se um arquivo baixado está corrompido.
---
Como um checksum é gerado?
Cada soma de verificação é gerada por um algoritmo de soma de verificação. Sem entrar em detalhes técnicos, digamos que ele pega um arquivo como entrada e gera o valor da soma de verificação desse arquivo.
---
Você fará o download do arquivo ISO do Linux no site da distribuição Linux - ou em outro lugar - como de costume.
Você fará o download de uma SOMA DE VERIFICAÇÃO e de sua ASSINATURA DIGITAL no site da distribuição Linux. Podem ser dois arquivos TXT separados, ou você pode obter um único arquivo TXT contendo os dois dados. Você receberá uma chave PGP pública pertencente à distribuição Linux. Você pode obter isso no site da distribuição Linux ou em um servidor-chave separado, gerenciado pelas mesmas pessoas, dependendo da sua distribuição Linux. Você usará a chave PGP para verificar se a assinatura digital da soma de verificação foi criada pela mesma pessoa que fez a chave; nesse caso, os mantenedores dessa distribuição Linux. Isso confirma que a soma de verificação em si não foi violada. Você gera a soma de verificação do seu arquivo ISO baixado e verifica se ele corresponde ao arquivo TXT da soma de verificação que você baixou. Isso confirma que o arquivo ISO não foi adulterado ou corrompido. O processo pode diferir um pouco para diferentes ISOs, mas geralmente segue esse padrão geral. Por exemplo, existem vários tipos diferentes de somas de verificação. Tradicionalmente, as somas MD5 são as mais populares. No entanto, as somas do SHA-256 agora são mais frequentemente usadas pelas distribuições modernas do Linux, pois o SHA-256 é mais resistente a ataques teóricos. Aqui é sobre as somas do SHA-256 aqui, embora um processo semelhante funcione para as somas do MD5. Algumas distribuições Linux também podem fornecer somas SHA-1, embora sejam ainda menos comuns. Da mesma forma, algumas distros não assinam suas somas de verificação com o PGP.
Você só precisará executar algumas etapas, mas o processo é muito mais vulnerável. Afinal, se o invasor puder substituir o arquivo ISO para download, ele também poderá substituir a soma de verificação. Sim, mas não a soma do site oficial. Tendo a soma do site oficial para comparar com a soma da iso baixada acredito que é seguro. Eu só faço o que posso com as ferramentas que os desenvolvedores nos oferecem. Então o que escrevo aqui eu executo. mais que isto exede minhas capacidades.
---
Tem distros que você devia baixar o arquivo de soma de verificação sha256sum.txt e a chave PGP sha256sum.txt.gpg. Por exemplo o Linux Mint.
---
As FERRAMENTAS para verificar md5, sha1 e sha256 se chamam:
1) md5sum
2) sha1sum
3) sha256sum
---
O que precisamos:
1) a ISO
2) o arquivo de soma de verificação (sha256sum.txt).
3) o arquivo de assinatura digital da soma de verificação e a chave PGP (sha256sum.txt.gpg).
---
Então, mudava para a pasta para a qual foram baixados e executa:
1) gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0FF405B2
2) sha256sum --check sha256sum.txt
---
Mas tem uma maneira mais fácil oferecida pelas distros Linux hoje em dia se na página oficial de uma distro ela oferece por exemplo um sha256sum:
df43424db9bfc5d2d28b7c64326716001f1780053d95a0c122a514b59a198544
Eu copio e guardo este sha256sum. Agora devo obter a soma sha256sum da iso que baixei. Então eu abro o terminal onde está a iso que baixei e executo:
1) sha256sum nome_da_iso_que_baixei.iso
Se baixei uma iso chamada: ubuntu-mate-16.10-desktop-amd64.iso, eu uso a ferramenta sha256sum neste arquivo assim:
sha256sum ubuntu-mate-16.10-desktop-amd64.iso
Se a soma de verificação gerada corresponder à fornecida na página de download do Ubuntu MATE, isso significa que nenhum dado foi alterado durante o download do arquivo - em outras palavras, o arquivo baixado não está corrompido.
---
Se fosse MD5:
2) md5sum nome_da_iso_que_baixei.iso
E confiro os dois no olho mesmo.
---
Ou se baixei do site oficial o sha256sum.txt:
2) sha256sum --check sha256sum.txt
---
Com que precisão isso funciona? Se você está se perguntando com que precisão essas somas de verificação detectam arquivos corrompidos - se você excluir ou alterar mesmo um caractere de qualquer um dos arquivos de texto dentro da imagem iso, o algoritmo de soma de verificação gerará um valor totalmente diferente para a imagem alterada. E isso definitivamente não corresponderá à soma de verificação fornecida na página de download.
---
semanickz 