Как проверить загрузку в Ubuntu с хешем SHA256 или ключом GPG

Вы, возможно, часто загружали некоторое программное обеспечение с открытым исходным кодом, например, различные дистрибутивы Linux ISO. При загрузке Вы могли бы также заметить, что ссылка загрузила файл контрольной суммы. Для чего та ссылка? На самом деле дистрибутивы Linux распределяют файлы контрольной суммы наряду с источником файлы ISO для проверки целостности загруженного файла. Используя контрольную сумму файла, можно проверить, что загруженный файл подлинен и не вмешался. Особенно полезно при загрузке файла с где-то в другом месте, а не исходный сайт как сторонние веб-сайты, где существует больший шанс подделки в файл. Это настоятельно рекомендовано для проверки контрольной суммы при загрузке файла от любого третьего лица.

В этой статье мы будем идти через несколько шагов, которые помогут Вам проверить любую загрузку в операционной системе Ubuntu. Для этой статьи я использую Ubuntu 18.04 LTS для описания процедуры. Кроме того, я загрузил ubuntu-18.04.2-desktop-amd64.iso, и он будет использоваться в этой статье для процесса проверки.

Существует два метода, которые можно использовать для проверки целостности загруженных файлов. Первый метод через SHA256, хеширующий, который является быстрым, но менее безопасным методом. Второй - через gpg ключи, который является более безопасным методом проверки целостности файлов.

Проверьте Загрузку с помощью Хеша SHA256

В первом методе мы будем использовать хеширование для проверки нашей загрузки. Хеширование является процессом проверки, которая проверяет, идентичен ли загруженный файл в Вашей системе файлу первоисточника и не был изменен третьим лицом. Шаги метода как указано ниже:

Шаг 1: Загрузите файл SHA256SUMS

Необходимо будет найти файл SHA256SUMS от официальных зеркал Ubuntu. Зеркальная страница включает некоторые дополнительные файлы наряду с изображениями Ubuntu. Я использую ниже зеркала для загрузки файла SHA256SUMS:

http://releases.ubuntu.com/18.04/

Как только Вы находите файл, нажимаете на него для открытия его. Это содержит контрольную сумму исходного файла, обеспеченного Ubuntu.

Шаг 2: Генерируйте контрольную сумму SHA256 загруженного файла ISO

Теперь откройте Terminal путем нажатия сочетаний клавиш Ctrl+Alt+T. Тогда перейдите к каталогу, куда Вы поместили файл загрузки.

CD $ [путь к файлу]

Тогда выполните следующую команду в Терминале для генерации контрольной суммы SHA256 загруженного файла ISO.

Шаг 3: Сравните контрольную сумму в обоих файлах.

Сравните контрольную сумму, сгенерированную системой с обеспеченным на официальном сайте зеркал Ubuntu. Если контрольная сумма соответствует, Вы загрузили подлинный файл, иначе файл повреждается.

Проверьте Загрузку с помощью gpg ключи

Этот метод более безопасен, чем предыдущий. Давайте посмотрим, как это работает. Шаги метода как указано ниже:

Шаг 1: загрузите SHA256SUMS и SHA256SUMS.gpg

Необходимо будет найти и SHA256SUMS и файл SHA256SUMS.gpg от любого из зеркал Ubuntu. Как только Вы находите эти файлы, открываете их. Щелкните правой кнопкой и использование сохраняют как опция страницы сохранить их. Сохраните оба файла в том же каталоге.

Шаг 2: Найдите, что ключ раньше выпускал подпись

Запустите Терминал и перейдите к каталогу, куда Вы поместили файлы контрольной суммы.

CD $ [путь к файлу]

Тогда выполните следующую команду для проверки, какой ключ использовался для генерации подписей.

$ gpg –verify SHA256SUMS.gpg SHA256SUMS

Мы можем также использовать эту команду для проверки подписей. Но в это время, нет никакого открытого ключа, таким образом, оно возвратит сообщение об ошибке как показано в ниже изображения.

Путем взгляда на вышеупомянутый вывод Вы видите, что ключевые идентификаторы: 46181433FBB75451 и D94AA3F0EFE21092. Мы можем использовать эти идентификаторы для запроса их с сервера Ubuntu.

Шаг 3: Получите открытый ключ сервера Ubuntu

Мы будем использовать вышеупомянутые ключевые идентификаторы для запроса открытых ключей с сервера Ubuntu. Это может быть сделано путем выполнения следующей команды в Терминале. Общий синтаксис команды:

$ gpg –keyserver <keyserver-name –recv-keys <publicKey>

Теперь Вы получили сервер Ubuntu формы ключей.

Шаг 4: Проверьте ключевые цифровые отпечатки

Теперь необходимо будет проверить ключевые цифровые отпечатки. Для этого, выполняет следующую команду в Терминале.

$ gpg --list-keys --with-fingerprint <0x-----> <0x------>

Шаг 5: Проверьте подпись

Теперь можно выполнить команду для проверки подписи. Это - та же команда, что Вы раньше ранее находили ключи, которые использовались для издания подписи.

$ gpg --verify SHA256SUMS.gpg SHA256SUMS

Теперь Вы видите вышеупомянутый вывод. Это отображает Хорошее сообщение подписи, которое проверяет целостность нашего файла ISO. Если бы они не соответствовали, это было бы отображено как ПЛОХАЯ подпись.

Вы также заметите предупредительный знак, который является просто, потому что Вы не имеете, подписывают ключи, и они не находятся в списке Ваших надежных источников.

Заключительный шаг

Теперь необходимо будет генерировать sha256 контрольную сумму для загруженного ISO файл. Тогда соответствуйте ему в файл SHA256SUM, который Вы загрузили с зеркал Ubuntu. Удостоверьтесь, что Вы поместили загруженный файл, SHA256SUMS и SHA256SUMS.gpg в том же каталоге.

Выполните следующую команду в Терминале:

$ sha256sum -c SHA256SUMS 2>&1 | grep OK

Вы получите вывод как ниже. Если вывод отличается, который означает, что Ваш загруженный файл ISO повреждается.

Это было всем, что необходимо знать о проверке загрузки в Ubuntu. Используя вышеописанные методы проверки, можно подтвердить загрузку подлинного файла ISO, который не поврежден и вмешивается во время загрузки.

Комментарии