Potresti aver scaricato spesso del software open source, ad esempio varie distribuzioni Linux ISO. Durante il download, potresti anche notare un collegamento per scaricare il file di checksum. A cosa serve quel collegamento? In realtà, le distribuzioni Linux distribuiscono i file di checksum insieme ai file ISO di origine per verificare l'integrità del file scaricato. Utilizzando il checksum del file, è possibile verificare che il file scaricato sia autentico e non sia stato manomesso. È particolarmente utile quando si scarica un file da qualche altra parte piuttosto che dal sito originale come siti Web di terze parti in cui esiste una maggiore possibilità di manomissione del file. Si consiglia vivamente di verificare il checksum durante il download di un file da terze parti.
In questo articolo, illustreremo alcuni passaggi che ti aiuteranno a verificare qualsiasi download nel sistema operativo Ubuntu. Per questo articolo, sto usando Ubuntu 18.04 LTS per descrivere la procedura. Inoltre, ho scaricato ubuntu-18.04.2-desktop-amd64.iso e verrà utilizzato in questo articolo per il processo di verifica.
Esistono due metodi che puoi utilizzare per verificare l'integrità dei file scaricati. Il primo metodo è tramite l'hashing SHA256 che è un metodo rapido ma meno sicuro. Il secondo è tramite le chiavi gpg che è un metodo più sicuro per controllare l'integrità dei file.
Verifica download utilizzando SHA256 Hash
Nel primo metodo, utilizzeremo l'hashing per verificare il nostro download. L'hashing è il processo di verifica che verifica se un file scaricato sul tuo sistema è identico al file di origine originale e non è stato alterato da terzi. I passaggi del metodo sono i seguenti:
Passaggio 1:scarica il file SHA256SUMS
Dovrai trovare il file SHA256SUMS dai mirror ufficiali di Ubuntu. La pagina mirror include alcuni file extra insieme alle immagini di Ubuntu. Sto usando il mirror sottostante per scaricare il file SHA256SUMS:
http://releases.ubuntu.com/18.04/
Una volta trovato il file, fai clic su di esso per aprirlo. Contiene il checksum del file originale fornito da Ubuntu.
Fase 2:genera il checksum SHA256 del file ISO scaricato
Ora apri il Terminale premendo Ctrl+Alt+T combinazioni di tasti. Quindi vai alla directory in cui hai inserito il file di download.
$ cd [percorso-file]
Quindi esegui il seguente comando in Terminale per generare il checksum SHA256 del file ISO scaricato.
Fase 3:confronta il checksum in entrambi i file.
Confronta il checksum generato dal sistema con quello fornito sul sito dei mirror ufficiali di Ubuntu. Se il checksum corrisponde, hai scaricato un file autentico, altrimenti il file è danneggiato.
Verifica Scarica using chiavi gpg
Questo metodo è più sicuro del precedente. Vediamo come funziona. I passaggi del metodo sono i seguenti:
Fase 1:scarica SHA256SUMS e SHA256SUMS.gpg
Dovrai trovare sia il file SHA256SUMS che il file SHA256SUMS.gpg da uno qualsiasi dei mirror di Ubuntu. Una volta trovati questi file, aprili. Fare clic con il pulsante destro del mouse e utilizzare l'opzione Salva come pagina per salvarli. Salva entrambi i file nella stessa directory.
Fase 2:trova la chiave utilizzata per emettere la firma
Avvia il Terminale e vai alla directory in cui hai inserito i file di checksum.
$ cd [percorso-file]
Quindi esegui il comando seguente per verificare quale chiave è stata utilizzata per generare le firme.
$ gpg –verify SHA256SUMS.gpg SHA256SUMS
Possiamo anche usare questo comando per verificare le firme. Ma al momento non esiste una chiave pubblica, quindi restituirà il messaggio di errore come mostrato nell'immagine sottostante.
Osservando l'output sopra, puoi vedere che gli ID chiave sono:46181433FBB75451 e D94AA3F0EFE21092. Possiamo usare questi ID per richiederli dal server Ubuntu.
Fase 3:ottieni la chiave pubblica del server Ubuntu
Useremo gli ID delle chiavi sopra per richiedere le chiavi pubbliche dal server Ubuntu. Può essere fatto eseguendo il seguente comando in Terminale. La sintassi generale del comando è:
$ gpg –keyserver <keyserver-name –recv-keys <publicKey>
Ora hai ricevuto le chiavi dal server Ubuntu.
Fase 4:verifica le impronte della chiave
Ora dovrai verificare le impronte digitali della chiave. Per questo, esegui il seguente comando in Terminale.
$ gpg --list-keys --with-fingerprint <0x-----> <0x------>
Fase 5:verifica la firma
Ora puoi eseguire il comando per verificare la firma. È lo stesso comando che hai usato in precedenza per trovare le chiavi che sono state utilizzate per il rilascio della firma.
$ gpg --verify SHA256SUMS.gpg SHA256SUMS
Ora puoi vedere l'output sopra. Mostra la firma buona messaggio che convalida l'integrità del nostro file ISO. Se non corrispondessero, verrebbero visualizzati come una firma ERRATA .
Noterai anche il segnale di avvertimento che è solo perché non hai controfirmato le chiavi e non sono nell'elenco delle tue fonti attendibili.
Fase finale
Ora dovrai generare un checksum sha256 per il file ISO scaricato. Quindi abbinalo al file SHA256SUM che hai scaricato dai mirror di Ubuntu. Assicurati di aver inserito il file scaricato, SHA256SUMS e SHA256SUMS.gpg nella stessa directory.
Esegui il seguente comando nel Terminale:
$ sha256sum -c SHA256SUMS 2>&1 | grep OK
Otterrai l'output come di seguito. Se l'output è diverso, significa che il file ISO scaricato è danneggiato.
Questo era tutto ciò che devi sapere sulla verifica del download in Ubuntu. Utilizzando i metodi di verifica sopra descritti, puoi confermare di aver scaricato un file ISO autentico che non sia danneggiato e manomesso durante il download.