Možná jste si často stáhli nějaký open source software, například různé ISO distribuce Linuxu. Při stahování si také můžete všimnout odkazu na stažení souboru kontrolního součtu. K čemu je ten odkaz? Ve skutečnosti distribuce Linuxu distribuují soubory kontrolního součtu spolu se zdrojovými soubory ISO, aby ověřily integritu staženého souboru. Pomocí kontrolního součtu souboru můžete ověřit, že stažený soubor je autentický a nebyl zfalšován. Je to zvláště užitečné, když stahujete soubor odjinud než z původního webu, jako jsou weby třetích stran, kde je větší šance na manipulaci se souborem. Důrazně se doporučuje ověřit kontrolní součet při stahování souboru od jakékoli třetí strany.
V tomto článku si projdeme několik kroků, které vám pomohou ověřit jakékoli stahování v operačním systému Ubuntu. Pro tento článek používám k popisu postupu Ubuntu 18.04 LTS. Navíc jsem si stáhl ubuntu-18.04.2-desktop-amd64.iso a bude použit v tomto článku pro proces ověření.
Integritu stažených souborů můžete ověřit dvěma způsoby. První metodou je hashování SHA256, což je rychlá, ale méně bezpečná metoda. Druhý je pomocí gpg klíčů, což je bezpečnější metoda kontroly integrity souboru.
Ověřte stažení pomocí hash SHA256
V první metodě použijeme hash k ověření našeho stahování. Hašování je proces ověřování, který ověřuje, zda je stažený soubor ve vašem systému totožný s původním zdrojovým souborem a nebyl pozměněn třetí stranou. Kroky metody jsou následující:
Krok 1:Stáhněte soubor SHA256SUMS
Budete muset najít soubor SHA256SUMS z oficiálních zrcadel Ubuntu. Zrcadlová stránka obsahuje některé další soubory spolu s obrázky Ubuntu. Ke stažení souboru SHA256SUMS používám níže uvedené zrcadlo:
http://releases.ubuntu.com/18.04/
Jakmile soubor najdete, kliknutím na něj jej otevřete. Obsahuje kontrolní součet původního souboru poskytnutého Ubuntu.
Krok 2:Vygenerujte kontrolní součet SHA256 ze staženého souboru ISO
Nyní otevřete Terminál stisknutím Ctrl+Alt+T kombinace kláves. Poté přejděte do adresáře, kam jste umístili stažený soubor.
$ cd [cesta k souboru]
Poté spusťte v Terminálu následující příkaz a vygenerujte kontrolní součet SHA256 staženého souboru ISO.
Krok 3:Porovnejte kontrolní součet v obou souborech.
Porovnejte kontrolní součet generovaný systémem s kontrolním součtem uvedeným na oficiálních stránkách zrcadel Ubuntu. Pokud se kontrolní součet shoduje, stáhli jste autentický soubor, jinak je soubor poškozen.
Ověřte stažení pomocípomocí klíčů gpg
Tato metoda je bezpečnější než předchozí. Podívejme se, jak to funguje. Kroky metody jsou následující:
Krok 1:Stáhněte si SHA256SUMS a SHA256SUMS.gpg
Budete muset najít soubor SHA256SUMS i SHA256SUMS.gpg z libovolného zrcadla Ubuntu. Jakmile tyto soubory najdete, otevřete je. Klikněte pravým tlačítkem a pomocí možnosti Uložit je uložte. Uložte oba soubory do stejného adresáře.
Krok 2:Najděte klíč použitý k vydání podpisu
Spusťte Terminál a přejděte do adresáře, kam jste umístili soubory kontrolního součtu.
$ cd [cesta k souboru]
Poté spusťte následující příkaz a ověřte, který klíč byl použit ke generování podpisů.
$ gpg –verify SHA256SUMS.gpg SHA256SUMS
Tento příkaz můžeme také použít k ověření podpisů. Ale v tuto chvíli neexistuje žádný veřejný klíč, takže vrátí chybovou zprávu, jak je znázorněno na obrázku níže.
Když se podíváte na výše uvedený výstup, můžete vidět, že klíčová ID jsou:46181433FBB75451 a D94AA3F0EFE21092. Tato ID můžeme použít k vyžádání si je ze serveru Ubuntu.
Krok 3:Získejte veřejný klíč serveru Ubuntu
Výše uvedená ID klíčů použijeme k vyžádání veřejných klíčů ze serveru Ubuntu. To lze provést spuštěním následujícího příkazu v Terminálu. Obecná syntaxe příkazu je:
$ gpg –keyserver <keyserver-name –recv-keys <publicKey>
Nyní jste obdrželi klíče od serveru Ubuntu.
Krok 4:Ověřte otisky klíčů
Nyní budete muset ověřit klíčové otisky prstů. Za tímto účelem spusťte v Terminálu následující příkaz.
$ gpg --list-keys --with-fingerprint <0x-----> <0x------>
Krok 5:Ověřte podpis
Nyní můžete spustit příkaz k ověření podpisu. Je to stejný příkaz, který jste použili dříve k nalezení klíčů, které byly použity pro vydání podpisu.
$ gpg --verify SHA256SUMS.gpg SHA256SUMS
Nyní můžete vidět výše uvedený výstup. Zobrazuje Dobrý podpis zprávu, která ověřuje integritu našeho souboru ISO. Pokud se neshodují, zobrazí se to jako ŠPATNÝ podpis .
Také si všimnete varovného znamení, které je způsobeno tím, že jste klíče nepodepsali a nejsou na seznamu vašich důvěryhodných zdrojů.
Poslední krok
Nyní budete muset vygenerovat kontrolní součet sha256 pro stažený soubor ISO a. Poté jej porovnejte se souborem SHA256SUM, který jste si stáhli ze zrcadel Ubuntu. Ujistěte se, že jste stažený soubor, SHA256SUMS a SHA256SUMS.gpg umístili do stejného adresáře.
Spusťte v Terminálu následující příkaz:
$ sha256sum -c SHA256SUMS 2>&1 | grep OK
Získáte výstup jako níže. Pokud se výstup liší, znamená to, že stažený soubor ISO je poškozen.
To bylo vše, co potřebujete vědět o ověřování stahování v Ubuntu. Pomocí výše popsaných metod ověření můžete potvrdit, že jste si stáhli autentický soubor ISO, který není během stahování poškozen a zmanipulován.