Es posible que haya descargado a menudo algún software de código abierto, por ejemplo, varias distribuciones ISO de Linux. Durante la descarga, también puede notar un enlace para descargar el archivo de suma de comprobación. ¿Para qué es ese enlace? En realidad, las distribuciones de Linux distribuyen archivos de suma de comprobación junto con archivos ISO de origen para verificar la integridad del archivo descargado. Usando la suma de verificación del archivo, puede verificar que el archivo descargado es auténtico y no ha sido manipulado. Es particularmente útil cuando está descargando un archivo desde otro lugar en lugar del sitio original, como sitios web de terceros, donde existe una mayor posibilidad de manipular el archivo. Se recomienda encarecidamente verificar la suma de comprobación al descargar un archivo de un tercero.
En este artículo, veremos algunos pasos que lo ayudarán a verificar cualquier descarga en el sistema operativo Ubuntu. Para este artículo, estoy usando Ubuntu 18.04 LTS para describir el procedimiento. Además, descargué ubuntu-18.04.2-desktop-amd64.iso y se usará en este artículo para el proceso de verificación.
Hay dos métodos que puede usar para verificar la integridad de los archivos descargados. El primer método es mediante hash SHA256, que es un método rápido pero menos seguro. El segundo es a través de claves gpg, que es un método más seguro para comprobar la integridad de los archivos.
Verificar descarga usando SHA256 Hash
En el primer método, usaremos hashing para verificar nuestra descarga. Hashing es el proceso de verificación que verifica si un archivo descargado en su sistema es idéntico al archivo fuente original y no ha sido alterado por un tercero. Los pasos del método son los siguientes:
Paso 1:Descargue el archivo SHA256SUMS
Deberá encontrar el archivo SHA256SUMS de los espejos oficiales de Ubuntu. La página espejo incluye algunos archivos adicionales junto con imágenes de Ubuntu. Estoy usando el espejo de abajo para descargar el archivo SHA256SUMS:
http://releases.ubuntu.com/18.04/
Una vez que encuentre el archivo, haga clic en él para abrirlo. Contiene la suma de comprobación del archivo original proporcionado por Ubuntu.
Paso 2:Genere la suma de verificación SHA256 del archivo ISO descargado
Ahora abra la Terminal presionando Ctrl+Alt+T combinaciones de teclas Luego navegue hasta el directorio donde colocó el archivo de descarga.
$ cd [ruta al archivo]
Luego ejecute el siguiente comando en la Terminal para generar la suma de verificación SHA256 del archivo ISO descargado.
Paso 3:Compare la suma de verificación en ambos archivos.
Compare la suma de comprobación generada por el sistema con la proporcionada en el sitio oficial de espejos de Ubuntu. Si la suma de verificación coincide, ha descargado un archivo auténtico; de lo contrario, el archivo está dañado.
Verificar descarga usando claves gpg
Este método es más seguro que el anterior. Vamos a ver cómo funciona. Los pasos del método son los siguientes:
Paso 1:Descarga SHA256SUMS y SHA256SUMS.gpg
Deberá encontrar los archivos SHA256SUMS y SHA256SUMS.gpg en cualquiera de los espejos de Ubuntu. Una vez que encuentre estos archivos, ábralos. Haga clic con el botón derecho y use la opción Guardar como página para guardarlos. Guarde ambos archivos en el mismo directorio.
Paso 2:encuentre la clave utilizada para emitir la firma
Inicie la Terminal y navegue hasta el directorio donde ha colocado los archivos de suma de comprobación.
$ cd [ruta al archivo]
Luego ejecute el siguiente comando para verificar qué clave se usó para generar las firmas.
$ gpg –verify SHA256SUMS.gpg SHA256SUMS
También podemos usar este comando para verificar las firmas. Pero en este momento, no hay una clave pública, por lo que devolverá el mensaje de error como se muestra en la imagen a continuación.
Al observar el resultado anterior, puede ver que los ID de clave son:46181433FBB75451 y D94AA3F0EFE21092. Podemos usar estos ID para solicitarlos desde el servidor de Ubuntu.
Paso 3:Obtenga la clave pública del servidor Ubuntu
Usaremos las ID de clave anteriores para solicitar claves públicas del servidor Ubuntu. Se puede hacer ejecutando el siguiente comando en la Terminal. La sintaxis general del comando es:
$ gpg –keyserver <keyserver-name –recv-keys <publicKey>
Ahora ha recibido las claves del servidor Ubuntu.
Paso 4:verificar las huellas dactilares clave
Ahora deberá verificar las huellas dactilares clave. Para eso, ejecute el siguiente comando en la Terminal.
$ gpg --list-keys --with-fingerprint <0x-----> <0x------>
Paso 5:Verificar la firma
Ahora puede ejecutar el comando para verificar la firma. Es el mismo comando que usó anteriormente para encontrar las claves que se usaron para emitir la firma.
$ gpg --verify SHA256SUMS.gpg SHA256SUMS
Ahora puede ver el resultado anterior. Muestra la buena firma mensaje que valida la integridad de nuestro archivo ISO. Si no coincidieran, se mostraría como una firma INCORRECTA .
También notará la señal de advertencia que es solo porque no ha refrendado las claves y no están en la lista de sus fuentes confiables.
Paso final
Ahora deberá generar una suma de verificación sha256 para el archivo ISO descargado. Luego conéctelo con el archivo SHA256SUM que ha descargado de los espejos de Ubuntu. Asegúrese de haber colocado el archivo descargado, SHA256SUMS y SHA256SUMS.gpg en el mismo directorio.
Ejecute el siguiente comando en la Terminal:
$ sha256sum -c SHA256SUMS 2>&1 | grep OK
Obtendrá la salida como a continuación. Si la salida es diferente, eso significa que su archivo ISO descargado está dañado.
Eso es todo lo que necesita saber sobre la verificación de descargas en Ubuntu. Usando los métodos de verificación descritos anteriormente, puede confirmar que ha descargado un archivo ISO auténtico que no está dañado ni manipulado durante la descarga.