Cara Memverifikasi Checksum ISO Linux dan Konfirmasikan Belum Dimutakhirkan
Bulan lalu, situs web Linux Mint diretas, dan ISO yang dimodifikasi disiapkan untuk unduhan yang mencakup pintu belakang. Sementara masalah itu diperbaiki dengan cepat, ini menunjukkan pentingnya memeriksa file Linux ISO yang Anda unduh sebelum menjalankan dan menginstalnya. Begini caranya.
Distribusi Linux menerbitkan checksum sehingga Anda dapat mengonfirmasi file yang Anda unduh adalah apa yang mereka klaim, dan ini sering ditandatangani sehingga Anda dapat memverifikasi checksum itu sendiri belum dirusak. Ini sangat berguna jika Anda mengunduh ISO dari tempat lain selain situs utama - seperti mirror pihak ketiga, atau melalui BItTorrent, di mana lebih mudah bagi orang untuk merusak file..
Bagaimana Proses Ini Bekerja
Proses pengecekan ISO agak rumit, jadi sebelum kita masuk ke langkah-langkah yang tepat, mari kita jelaskan apa yang diperlukan prosesnya:
- Anda akan mengunduh file ISO Linux dari situs web distribusi Linux-atau di tempat lain-seperti biasa.
- Anda akan mengunduh checksum dan tanda tangan digitalnya dari situs web distribusi Linux. Ini mungkin dua file TXT yang terpisah, atau Anda mungkin mendapatkan file TXT tunggal yang berisi kedua bagian data.
- Anda akan mendapatkan kunci PGP publik milik distribusi Linux. Anda dapat memperoleh ini dari situs web distribusi Linux atau server kunci terpisah yang dikelola oleh orang yang sama, tergantung pada distribusi Linux Anda.
- Anda akan menggunakan kunci PGP untuk memverifikasi bahwa tanda tangan digital checksum itu dibuat oleh orang yang sama yang membuat kunci-dalam hal ini, pengelola distribusi Linux itu. Ini mengkonfirmasi bahwa checksum itu sendiri belum dirusak.
- Anda akan menghasilkan checksum dari file ISO yang Anda unduh, dan memverifikasi cocok dengan file TXT checksum yang Anda unduh. Ini mengkonfirmasi file ISO belum dirusak atau rusak.
Prosesnya mungkin sedikit berbeda untuk ISO yang berbeda, tetapi biasanya mengikuti pola umum itu. Misalnya, ada beberapa jenis checksum yang berbeda. Secara tradisional, jumlah MD5 adalah yang paling populer. Namun, jumlah SHA-256 sekarang lebih sering digunakan oleh distribusi Linux modern, karena SHA-256 lebih tahan terhadap serangan teoritis. Kami terutama akan membahas jumlah SHA-256 di sini, meskipun proses serupa akan bekerja untuk jumlah MD5. Beberapa distro Linux mungkin juga menyediakan jumlah SHA-1, meskipun ini bahkan lebih jarang.
Demikian pula, beberapa distro tidak menandatangani checksum mereka dengan PGP. Anda hanya perlu melakukan langkah 1, 2, dan 5, tetapi prosesnya jauh lebih rentan. Lagi pula, jika penyerang dapat mengganti file ISO untuk diunduh, mereka juga dapat mengganti checksum.
Menggunakan PGP jauh lebih aman, tetapi tidak mudah. Penyerang masih bisa mengganti kunci publik itu dengan milik mereka, mereka masih bisa menipu Anda agar menganggap ISO itu sah. Namun, jika kunci publik di-host pada server yang berbeda-seperti halnya dengan Linux Mint-ini menjadi jauh lebih kecil kemungkinannya (karena mereka harus meretas dua server daripada hanya satu). Tetapi jika kunci publik disimpan pada server yang sama dengan ISO dan checksum, seperti halnya dengan beberapa distro, maka itu tidak menawarkan banyak keamanan.
Namun, jika Anda mencoba memverifikasi tanda tangan PGP pada file checksum dan kemudian memvalidasi unduhan Anda dengan checksum itu, hanya itu yang dapat Anda lakukan sebagai pengguna akhir yang mengunduh ISO Linux. Anda masih jauh lebih aman daripada orang-orang yang tidak peduli.
Cara Memverifikasi Checksum Di Linux
Kami akan menggunakan Linux Mint sebagai contoh di sini, tetapi Anda mungkin perlu mencari situs web distribusi Linux Anda untuk menemukan opsi verifikasi yang ditawarkannya. Untuk Linux Mint, dua file disediakan bersama dengan unduhan ISO pada mirror unduhannya. Unduh ISO, lalu unduh file "sha256sum.txt" dan "sha256sum.txt.gpg" ke komputer Anda. Klik kanan file dan pilih "Simpan Tautan Sebagai" untuk mengunduhnya.
Di desktop Linux Anda, buka jendela terminal dan unduh kunci PGP. Dalam hal ini, kunci PGP Linux Mint di-host di server kunci Ubuntu, dan kita harus menjalankan perintah berikut untuk mendapatkannya.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2
Situs web distro Linux Anda akan mengarahkan Anda ke kunci yang Anda butuhkan.
Kami sekarang memiliki semua yang kami butuhkan: ISO, file checksum, file tanda tangan digital checksum, dan kunci PGP. Jadi selanjutnya, ubah ke folder tempat mereka diunduh ...
cd ~ / Unduhan
... dan jalankan perintah berikut untuk memeriksa tanda tangan file checksum:
gpg --verifikasikan sha256sum.txt.gpg sha256sum.txt
Jika perintah GPG memberi tahu Anda bahwa file sha256sum.txt yang diunduh memiliki "tanda tangan yang baik", Anda dapat melanjutkan. Pada baris keempat tangkapan layar di bawah ini, GPG memberi tahu kami bahwa ini adalah "tanda tangan yang baik" yang mengklaim terkait dengan Clement Lefebvre, pencipta Linux Mint.
Jangan khawatir bahwa kunci tersebut tidak disertifikasi dengan "tanda tangan tepercaya." Ini karena cara kerja enkripsi PGP - Anda belum membuat web kepercayaan dengan mengimpor kunci dari orang-orang tepercaya. Kesalahan ini akan sangat umum.
Terakhir, sekarang kita tahu checksum dibuat oleh pengelola Linux Mint, jalankan perintah berikut untuk menghasilkan checksum dari file .iso yang diunduh dan bandingkan dengan file TXT checksum yang Anda unduh:
sha256sum - centang sha256sum.txt
Anda akan melihat banyak pesan "tidak ada file atau direktori" jika Anda hanya mengunduh satu file ISO, tetapi Anda akan melihat pesan "OK" untuk file yang Anda unduh jika cocok dengan checksum.
Anda juga dapat menjalankan perintah checksum langsung pada file .iso. Ini akan memeriksa file .iso dan mengeluarkan checksumnya. Anda kemudian dapat memeriksanya sesuai dengan checksum yang valid dengan melihat keduanya dengan mata Anda.
Misalnya, untuk mendapatkan jumlah SHA-256 dari file ISO:
sha256sum /path/to/file.iso
Atau, jika Anda memiliki nilai md5sum dan perlu mendapatkan md5sum dari file:
md5sum /path/to/file.iso
Bandingkan hasilnya dengan file TXT checksum untuk melihat apakah cocok.
Cara Memverifikasi Checksum Di Windows
Jika Anda mengunduh ISO ISO dari mesin Windows, Anda juga dapat memverifikasi checksum di sana-meskipun Windows tidak memiliki perangkat lunak yang diperlukan bawaan. Jadi, Anda harus mengunduh dan menginstal alat Gpg4win open-source.
Temukan file kunci penandatanganan distro Linux Anda dan file checksum. Kami akan menggunakan Fedora sebagai contoh di sini. Situs web Fedora menyediakan unduhan checksum dan memberi tahu kami bahwa kami dapat mengunduh kunci penandatanganan Fedora dari https://getfedora.org/static/fedora.gpg.
Setelah mengunduh file-file ini, Anda harus menginstal kunci penandatanganan menggunakan program Kleopatra yang disertakan dengan Gpg4win. Luncurkan Kleopatra, dan klik File> Impor Sertifikat. Pilih file .gpg yang Anda unduh.
Anda sekarang dapat memeriksa apakah file checksum yang diunduh ditandatangani dengan salah satu file utama yang Anda impor. Untuk melakukannya, klik File> Dekripsi / Verifikasi File. Pilih file checksum yang diunduh. Hapus centang pada opsi "File input adalah tanda tangan yang terlepas" dan klik "Dekripsi / Verifikasi."
Anda pasti akan melihat pesan kesalahan jika Anda melakukannya dengan cara ini, karena Anda belum mengalami kesulitan untuk mengkonfirmasi sertifikat Fedora yang sebenarnya sah. Itu tugas yang lebih sulit. Ini adalah cara PGP dirancang untuk bekerja - Anda bertemu dan bertukar kunci secara langsung, misalnya, dan mengumpulkan jaringan kepercayaan. Kebanyakan orang tidak menggunakannya dengan cara ini.
Namun, Anda dapat melihat detail lebih lanjut dan mengonfirmasi bahwa file checksum ditandatangani dengan salah satu kunci yang Anda impor. Ini jauh lebih baik daripada hanya mempercayai file ISO yang diunduh tanpa memeriksa.
Anda sekarang harus dapat memilih File> Verifikasi File Checksum dan mengkonfirmasi informasi dalam file checksum sesuai dengan file .iso yang diunduh. Namun, ini tidak berhasil bagi kami - mungkin hanya seperti cara berkas checksum Fedora. Ketika kami mencoba ini dengan file sha256sum.txt Linux Mint, itu berhasil.
Jika ini tidak berhasil untuk distribusi Linux pilihan Anda, inilah solusinya. Pertama, klik Pengaturan> Konfigurasi Kleopatra. Pilih "Crypto Operations," pilih "File Operations," dan atur Kleopatra untuk menggunakan program checksum "sha256sum", karena itulah checksum khusus ini dihasilkan. Jika Anda memiliki MD5 checksum, pilih "md5sum" di daftar di sini.
Sekarang, klik File> Buat File Checksum dan pilih file ISO yang Anda unduh. Kleopatra akan menghasilkan checksum dari file .iso yang diunduh dan menyimpannya ke file baru.
Anda dapat membuka kedua file ini - file checksum yang diunduh dan yang baru saja Anda buat - di editor teks seperti Notepad. Konfirmasikan checksum identik di kedua dengan mata Anda sendiri. Jika identik, Anda telah mengkonfirmasi file ISO Anda yang diunduh belum dirusak.
Metode verifikasi ini awalnya tidak dimaksudkan untuk melindungi terhadap malware. Mereka dirancang untuk mengkonfirmasi bahwa file ISO Anda diunduh dengan benar dan tidak rusak selama unduhan, sehingga Anda dapat membakar dan menggunakannya tanpa khawatir. Mereka bukan solusi yang benar-benar mudah, karena Anda harus mempercayai kunci PGP yang Anda unduh. Namun, ini masih memberikan jaminan lebih dari sekadar menggunakan file ISO tanpa memeriksanya sama sekali.
Kredit Gambar: Eduardo Quagliato di Flickr