Wie man
So überprüfen Sie die Prüfsumme einer Linux-ISO und bestätigen, dass sie nicht manipuliert wurde
Letzten Monat, Die Website von Linux Mint wurde gehackt, und eine modifizierte ISO wurde zum Download bereitgestellt, die eine Hintertür enthielt. Obwohl das Problem schnell behoben wurde, zeigt es, wie wichtig es ist, die heruntergeladenen Linux-ISO-Dateien zu überprüfen, bevor Sie sie ausführen und installieren. Hier ist wie.
Linux-Distributionen veröffentlichen Prüfsummen, damit Sie bestätigen können, dass die heruntergeladenen Dateien das sind, was sie vorgeben, und diese werden oft signiert, damit Sie überprüfen können, ob die Prüfsummen selbst nicht manipuliert wurden. Dies ist besonders nützlich, wenn Sie eine ISO von einem anderen Ort als der Hauptseite herunterladen – wie einem Spiegel eines Drittanbieters oder über BItTorrent, wo es für Benutzer viel einfacher ist, Dateien zu manipulieren.
Wie dieser Prozess funktioniert
Der Prozess der ISO-Überprüfung ist etwas komplex. Bevor wir uns also mit den genauen Schritten befassen, erklären wir genau, was der Prozess beinhaltet:
- Sie laden die Linux-ISO-Datei wie gewohnt von der Website der Linux-Distribution – oder woanders – herunter.
- Sie laden eine Prüfsumme und ihre digitale Signatur von der Website der Linux-Distribution herunter. Dies können zwei separate TXT-Dateien sein, oder Sie erhalten eine einzelne TXT-Datei, die beide Daten enthält.
- Sie erhalten einen öffentlichen PGP-Schlüssel, der zur Linux-Distribution gehört. Sie können dies von der Website der Linux-Distribution oder einem separaten Schlüsselserver erhalten, der von denselben Leuten verwaltet wird, je nach Ihrer Linux-Distribution.
- Sie verwenden den PGP-Schlüssel, um zu überprüfen, ob die digitale Signatur der Prüfsumme von derselben Person erstellt wurde, die den Schlüssel erstellt hat – in diesem Fall von den Betreuern dieser Linux-Distribution. Dies bestätigt, dass die Prüfsumme selbst nicht manipuliert wurde.
- Sie generieren die Prüfsumme Ihrer heruntergeladenen ISO-Datei und überprüfen, ob sie mit der heruntergeladenen TXT-Prüfsummendatei übereinstimmt. Dies bestätigt, dass die ISO-Datei nicht manipuliert oder beschädigt wurde.
Der Prozess kann für verschiedene ISOs etwas unterschiedlich sein, aber er folgt normalerweise diesem allgemeinen Muster. Beispielsweise gibt es verschiedene Arten von Prüfsummen. Traditionell waren MD5-Summen die beliebtesten. Allerdings werden SHA-256-Summen mittlerweile häufiger von modernen Linux-Distributionen verwendet, da SHA-256 resistenter gegen theoretische Angriffe ist. Wir werden hier hauptsächlich SHA-256-Summen besprechen, obwohl ein ähnlicher Prozess für MD5-Summen funktioniert. Einige Linux-Distributionen können auch SHA-1-Summen bereitstellen, obwohl diese noch seltener vorkommen.
Ebenso signieren einige Distributionen ihre Prüfsummen nicht mit PGP. Sie müssen nur die Schritte 1, 2 und 5 ausführen, aber der Prozess ist viel anfälliger. Denn wenn der Angreifer die ISO-Datei zum Download ersetzen kann, kann er auch die Prüfsumme ersetzen.
Die Verwendung von PGP ist viel sicherer, aber nicht narrensicher. Der Angreifer könnte diesen öffentlichen Schlüssel immer noch durch seinen eigenen ersetzen, er könnte Sie immer noch dazu verleiten, die ISO für legitim zu halten. Wenn der öffentliche Schlüssel jedoch auf einem anderen Server gehostet wird – wie es bei Linux Mint der Fall ist – wird dies viel unwahrscheinlicher (da sie zwei Server anstelle von nur einem hacken müssten). Wenn der öffentliche Schlüssel jedoch auf demselben Server wie ISO und Prüfsumme gespeichert ist, wie es bei einigen Distributionen der Fall ist, bietet er nicht so viel Sicherheit.
Wenn Sie jedoch versuchen, die PGP-Signatur einer Prüfsummendatei zu überprüfen und dann Ihren Download mit dieser Prüfsumme zu validieren, können Sie als Endbenutzer vernünftigerweise nur ein Linux-ISO herunterladen. Sie sind immer noch viel sicherer als die Leute, die sich nicht darum kümmern.
So überprüfen Sie eine Prüfsumme unter Linux
Wir verwenden hier Linux Mint als Beispiel, aber Sie müssen möglicherweise die Website Ihrer Linux-Distribution durchsuchen, um die angebotenen Überprüfungsoptionen zu finden. Für Linux Mint werden zwei Dateien zusammen mit dem ISO-Download auf seinen Download-Spiegeln bereitgestellt. Laden Sie die ISO herunter und laden Sie dann die Dateien „sha256sum.txt“ und „sha256sum.txt.gpg“ auf Ihren Computer herunter. Klicken Sie mit der rechten Maustaste auf die Dateien und wählen Sie «Link speichern unter», um sie herunterzuladen.
Öffnen Sie auf Ihrem Linux-Desktop ein Terminalfenster und laden Sie den PGP-Schlüssel herunter. In diesem Fall wird der PGP-Schlüssel von Linux Mint auf dem Schlüsselserver von Ubuntu gehostet, und wir müssen den folgenden Befehl ausführen, um ihn abzurufen.
gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0FF405B2
Die Website Ihrer Linux-Distribution weist Sie auf den Schlüssel hin, den Sie benötigen.
Wir haben jetzt alles, was wir brauchen: Das ISO, die Prüfsummendatei, die digitale Signaturdatei der Prüfsumme und den PGP-Schlüssel. Wechseln Sie als nächstes in den Ordner, in den sie heruntergeladen wurden…
cd ~/Downloads
…und führen Sie den folgenden Befehl aus, um die Signatur der Prüfsummendatei zu überprüfen:
gpg --verify sha256sum.txt.gpg sha256sum.txt
Wenn Ihnen der GPG-Befehl mitteilt, dass die heruntergeladene Datei sha256sum.txt eine „gute Signatur“ hat, können Sie fortfahren. In der vierten Zeile des Screenshots unten informiert uns GPG, dass dies eine „gute Signatur“ ist, die behauptet, mit Clement Lefebvre, dem Schöpfer von Linux Mint, in Verbindung gebracht zu werden.
Machen Sie sich keine Sorgen, dass der Schlüssel nicht mit einer „vertrauenswürdigen Signatur“ zertifiziert ist. Dies liegt an der Funktionsweise der PGP-Verschlüsselung – Sie haben kein Vertrauensnetz eingerichtet, indem Sie Schlüssel von vertrauenswürdigen Personen importieren. Dieser Fehler wird sehr häufig auftreten.
Nachdem wir nun wissen, dass die Prüfsumme von den Linux Mint-Betreuern erstellt wurde, führen Sie den folgenden Befehl aus, um eine Prüfsumme aus der heruntergeladenen .iso-Datei zu generieren und sie mit der heruntergeladenen Prüfsumme TXT-Datei zu vergleichen:
sha256sum --check sha256sum.txt
Wenn Sie nur eine einzelne ISO-Datei heruntergeladen haben, werden viele Meldungen «keine solche Datei oder kein solches Verzeichnis» angezeigt, aber Sie sollten die Meldung «OK» für die heruntergeladene Datei sehen, wenn sie mit der Prüfsumme übereinstimmt.
Sie können die Prüfsummenbefehle auch direkt in einer .iso-Datei ausführen. Es untersucht die .iso-Datei und spuckt ihre Prüfsumme aus. Sie können dann einfach überprüfen, ob es mit der gültigen Prüfsumme übereinstimmt, indem Sie beide mit Ihren Augen betrachten.
Um beispielsweise die SHA-256-Summe einer ISO-Datei abzurufen:
sha256sum /path/to/file.iso
Oder, wenn Sie einen md5sum-Wert haben und die md5sum einer Datei abrufen müssen:
md5sum /path/to/file.iso
Vergleichen Sie das Ergebnis mit der Prüfsummen-TXT-Datei, um zu sehen, ob sie übereinstimmen.
So überprüfen Sie eine Prüfsumme unter Windows
Wenn Sie ein Linux-ISO von einem Windows-Computer herunterladen, können Sie die Prüfsumme dort auch überprüfen – obwohl Windows nicht über die erforderliche Software verfügt. Sie müssen also die Open-Source-Datei herunterladen und installieren Gpg4win Werkzeug.
Suchen Sie die Signaturschlüsseldatei und die Prüfsummendateien Ihrer Linux-Distribution. Als Beispiel nehmen wir hier Fedora. Fedoras Website bietet Prüfsummen-Downloads und teilt uns mit, dass wir den Fedora-Signaturschlüssel von https://getfedora.org/static/fedora.gpg herunterladen können.
Nachdem Sie diese Dateien heruntergeladen haben, müssen Sie den Signaturschlüssel mit dem Kleopatra-Programm installieren, das in Gpg4win enthalten ist. Starten Sie Kleopatra und klicken Sie auf Datei > Zertifikate importieren. Wählen Sie die heruntergeladene .gpg-Datei aus.
Sie können nun überprüfen, ob die heruntergeladene Prüfsummendatei mit einer der importierten Schlüsseldateien signiert wurde. Klicken Sie dazu auf Datei > Dateien entschlüsseln/verifizieren. Wählen Sie die heruntergeladene Prüfsummendatei aus. Deaktivieren Sie die Option „Eingabedatei ist eine getrennte Signatur“ und klicken Sie auf „Entschlüsseln/Verifizieren“.
Wenn Sie dies auf diese Weise tun, werden Sie mit Sicherheit eine Fehlermeldung sehen, da Sie sich nicht die Mühe gemacht haben, zu bestätigen, dass diese Fedora-Zertifikate tatsächlich legitim sind. Das ist eine schwierigere Aufgabe. So funktioniert PGP – Sie treffen sich zum Beispiel persönlich, tauschen Schlüssel aus und bauen ein Vertrauensnetz auf. Die meisten Leute verwenden es nicht auf diese Weise.
Sie können jedoch weitere Details anzeigen und bestätigen, dass die Prüfsummendatei mit einem der importierten Schlüssel signiert wurde. Dies ist sowieso viel besser, als nur einer heruntergeladenen ISO-Datei zu vertrauen, ohne sie zu überprüfen.
Sie sollten jetzt in der Lage sein, Datei > Prüfsummendateien überprüfen auszuwählen und sicherzustellen, dass die Informationen in der Prüfsummendatei mit der heruntergeladenen .iso-Datei übereinstimmen. Bei uns hat das jedoch nicht funktioniert – vielleicht ist es einfach so, wie die Prüfsummendatei von Fedora angelegt ist. Als wir dies mit der Datei sha256sum.txt von Linux Mint versucht haben, hat es funktioniert.
Wenn dies für Ihre Linux-Distribution Ihrer Wahl nicht funktioniert, finden Sie hier eine Problemumgehung. Klicken Sie zunächst auf Einstellungen > Kleopatra konfigurieren. Wählen Sie „Kryptooperationen“, wählen Sie „Dateioperationen“ und stellen Sie Kleopatra so ein, dass das Prüfsummenprogramm „sha256sum“ verwendet wird, da damit diese spezielle Prüfsumme generiert wurde. Wenn Sie eine MD5-Prüfsumme haben, wählen Sie hier „md5sum“ in der Liste aus.
Klicken Sie nun auf Datei > Prüfsummendateien erstellen und wählen Sie Ihre heruntergeladene ISO-Datei aus. Kleopatra generiert eine Prüfsumme aus der heruntergeladenen .iso-Datei und speichert sie in einer neuen Datei.
Sie können beide Dateien – die heruntergeladene Prüfsummendatei und die gerade generierte – in einem Texteditor wie Notepad öffnen. Bestätigen Sie mit eigenen Augen, dass die Prüfsumme bei beiden identisch ist. Wenn es identisch ist, haben Sie bestätigt, dass Ihre heruntergeladene ISO-Datei nicht manipuliert wurde.
Diese Überprüfungsmethoden waren ursprünglich nicht zum Schutz vor Malware gedacht. Sie wurden entwickelt, um zu bestätigen, dass Ihre ISO-Datei korrekt heruntergeladen wurde und während des Downloads nicht beschädigt wurde, sodass Sie sie bedenkenlos brennen und verwenden können. Sie sind keine absolut narrensichere Lösung, da Sie dem heruntergeladenen PGP-Schlüssel vertrauen müssen. Dies bietet jedoch immer noch viel mehr Sicherheit, als nur eine ISO-Datei zu verwenden, ohne sie überhaupt zu überprüfen.
Bildnachweis: Eduardo Quagliato auf Flickr
-
Wie man4 años agoWas ist Markdown und wie verwenden Sie es?
-
Tipps5 años agoSie können jetzt eine Verzögerung in Alexa-Routinen festlegen
-
Wie man5 años agoSo erstellen Sie eine Urlaubsnachricht für (fast) jedes E-Mail-Konto
-
Wie man4 años agoSo erstellen Sie eine Punktraster-Papiervorlage in Microsoft Word
-
Wie man4 años agoEin kurzer Blick auf URL-Kürzungsdienste und -Erweiterungen
-
Wie man4 años agoSo wechseln Sie zu einer 24-Stunden-Uhr im Echo Show & Echo Spot
-
Wie man4 años agoSo erstellen Sie Fortschrittsbalken in Excel mit bedingter Formatierung
-
Wie man4 años agoDer How-To-Geek-Leitfaden zum Erlernen von Photoshop, Teil 2: Panels