Como verificar um arquivo baixado, dados os hashes e um arquivo .gpg

Navegue suas respostas
0

Com GPG4Win eu verifiquei Tor, GPG4Win, Tails, usando .sig e chave de assinatura. Leia documentos e vídeos assistidos para esse fim. Agora eu tentei verificar o Ubuntu, com sha256sum e sha256sums.gpg. Usuários não-Linux devem instalar o GPG Tools - posso fazê-lo com o GPG4Win? Eu tenho o Ubuntu Mate como uma VM, então eu tentei o procedimento como prescrito, que não funcionou: 

*m@ubuntu:~/Downloads$ gpgv --keyring=/usr/share/keyrings/ubuntu-
archive-keyring.gpg SHA256SUMS.gpg SHA256SUMS
gpgv: can't open 'SHA256SUMS.gpg'
gpgv: verify signatures failed: file open error*

Em "Downloads", criei uma pasta com a soma de verificação colada em "Pluma" e SHA256SUMS.gpg dentro. Verificar as somas de hash trabalhadas. O que eu preciso é de uma instrução passo-a-passo, para validação com Linux e Win, porque é um tópico novo sem experiência prévia para mim. Muito obrigado pelo seu conselho.

PS: Como eu estava prestes a baixar o Ubuntu, arando a internet para "Como verificar .." Eu encontrei Depois de ler isso , estou relutante em baixar um sistema operacional, sem saber que tipo de download será. Fato ou ficção?

    
por Shiro 06.04.2017 / 17:36

1 resposta

1

A verificação não é necessariamente o processo mais direto, dependendo de quão infalível ou paranóico (para usar o vernáculo) você quer ser.

Quando você faz o download de um ISO, geralmente também será oferecido um hash para verificar o download.

Se não, na página de download do Ubuntu, há um link direto; acesse a pasta pai: link

Os arquivos de soma SHA-256 estão lá, com as assinaturas para verificar as listas de soma

Etapa 1 

gpg2 --verify SHA256SUMS.gpg SHA256SUMS

isto retornará alguma saída 

gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using DSA key ID FBB75451
gpg: Can't check signature: No public key
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using RSA key ID EFE21092

As impressões digitais chave estão no final; agora você precisa importá-los de um servidor de chaves

Etapa 2

Importar chaves do servidor de chaves 

gpg2 --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys FBB75451 EFE21092

que confirmará o que você deseja saber: 

gpg: key EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported
gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key <[email protected]>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: PGP
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: Total number processed: 2
gpg:               imported: 2

Etapa 3

Você agora pode executar novamente o comando de verificação 

gpg2 --verify SHA256SUMS.gpg SHA256SUMS

Você receberá avisos sobre assinaturas confiáveis se nunca tiver expandido uma rede de confiança antes. Se você confiar nas impressões digitais recebidas do servidor de chaves, tudo bem. Se você está procurando ir a milha extra, você pode pedir a alguém com uma teia de confiança estendida para verificar para você; procure em Key Signing Events e gpg web of trust para mais informações.

Etapa 4

Depois de fazer o download do ISO desejado, execute a ferramenta de soma de verificação: 

sha256sum your_distro.iso

Verifique se a soma corresponde àquela do site, ou no arquivo ou SHA256SUM (que será apenas um arquivo de texto com as somas de verificação dentro dele).

Preocupações do link reddit

Para as preocupações relativas a sites ISO que não usam HTTPS: o servidor é um servidor conhecido e o conteúdo é conhecido. Criptografar isso é desnecessário, o HTTPS é mais adequado para o sigilo de comunicação e para a integridade dos dados.

Se os arquivos estiverem comprometidos, digamos que nos discos rígidos do servidor precisamos de algo mais: por isso, estamos verificando a autenticidade e a integridade dos dados em repouso usando as assinaturas.

Para as preocupações sobre as chaves e impressões digitais , primeiro um aviso: o seguinte explica o que é geralmente entendido, com ressalvas, é claro. Isto não é um conselho de segurança profissional, mas um discurso mais atual.

A única coisa que você realmente precisa ter certeza é que você confia nas chaves recebidas do servidor de chaves , e é aí que entra a rede de confiança.

Se um amigo ou colega seu já estabeleceu uma cadeia de confiança que possa verificar as impressões digitais e você confia nessa pessoa, então pode confiar na impressão digital.

A maneira de um homem pobre de ter certeza é verificar sites e fóruns diferentes e variados para ver se as impressões digitais correspondentes ao que foi visto e encontrado por meio de outros sites.

Se um invasor de fato substituiu os ISOs do Ubuntu por falsificações e substituiu arquivos de assinatura forjados, e conseguiram alternar as chaves no servidor de chaves, você ainda pode ter certeza de que

  • as chaves não corresponderão às chaves importadas de outra pessoa (desde que tenham as chaves não comprometidas) (cenário da web de confiança)
  • todas as chaves documentadas em fóruns pela rede (como no cenário acima, onde eu colei o que tenho) provavelmente não foram trocadas (a menos que todos os sites tenham sido hackeados ou as chaves tenham sido trocadas muito antes de alguém começar a documentá-las) em fóruns e saídas de depuração do stackexchange, por exemplo)

Se você quiser saber mais, ler sobre as "lições aprendidas" das consequências do hack do site Linux Mint deve fornecer um bom histórico sobre este assunto.

E sim, o processo de verificação de um ISO deve ser muito mais fácil, eu lhe darei isso.

    
por taifwa 06.04.2017 / 18:44
N: Ignorando o arquivo '50unattended-upgrades.ucf-dist' no diretório '/etc/apt/apt.conf.d/' já que tem uma extensão de nome de arquivo inválida Como verificar se a impressora está on / off-line com o CUPS?