O download de arquivos de imagem do sistema operacional ou software da Internet às vezes pode representar um risco de segurança porque agentes mal-intencionados podem corromper ou modificar arquivos. Para garantir a autenticidade e integridade dos arquivos baixados, é necessário verificá-los. Neste guia para iniciantes, orientaremos você na verificação de arquivos ISO no Linux.
O que são arquivos ISO?
Os arquivos ISO são comumente usados para criar mídia inicializável, instalar software e criar backups. Um arquivo ISO contém todos os dados originais do aplicativo/disco em um formato compactado, permitindo que seja facilmente baixado e compartilhado pela Internet. Por exemplo, se você baixar um desktop, servidor ou qualquer outro sistema operacional Linux do Ubuntu, deve ter encontrado os arquivos com extensões .iso. Também é usado para aplicativos ou outros sistemas operacionais, como o Windows.
Verificação de arquivos ISO
A verificação dos arquivos ISO é fundamental para garantir que o arquivo baixado seja autêntico e não tenha sido modificado. Um arquivo ISO modificado pode conter malware ou vírus que podem danificar seu sistema.
A verificação dos arquivos ISO garante que o arquivo baixado seja o mesmo criado pelo desenvolvedor e não tenha sido adulterado. Por exemplo, alguns anos atrás, o servidor Linux Mint foi hackeado e os arquivos ISO oficiais foram modificados. Como você está baixando do site oficial, pode pensar que os arquivos são genuínos. Mas eles podem não. Portanto, é importante que você sempre verifique os arquivos ISO antes de usá-los para instalá-los em seu laptop/desktop.
Existem dois métodos comumente usados para verificar arquivos ISO no Linux: Usando somas de verificação SHA-256 e; Usando assinatura GPG.
Usando somas de verificação SHA-256
SHA-256 é uma função de hash criptográfica que gera um valor de hash exclusivo para um arquivo. Uma soma de verificação é o resultado da aplicação do algoritmo SHA-256 a um arquivo. A soma de verificação é uma cadeia de caracteres exclusiva que pode ser usada para verificar a integridade de um arquivo.
Para verificar um arquivo ISO usando somas de verificação SHA-256, baixe a soma de verificação SHA-256 no site do desenvolvedor. O arquivo de soma de verificação SHA-256 conterá o valor de soma de verificação do arquivo ISO. Você precisa gerar o valor da soma de verificação do arquivo ISO baixado e compará-lo com o valor da soma de verificação no arquivo de soma de verificação SHA-256. Se os dois valores corresponderem, o arquivo ISO baixado é autêntico e não foi modificado.
Usando assinatura GPG
GPG (GNU Privacy Guard) é um software criptográfico que pode ser usado para assinar e verificar arquivos. Uma assinatura GPG é uma assinatura digital que garante a autenticidade e integridade de um arquivo. O desenvolvedor assina o arquivo ISO usando sua chave privada e o usuário verifica a assinatura usando a chave pública do desenvolvedor.
Para verificar um arquivo ISO usando assinatura GPG, você precisa baixar o arquivo de assinatura GPG do site do desenvolvedor. O arquivo de assinatura GPG conterá a chave pública do desenvolvedor e a assinatura do arquivo ISO. Você precisa importar a chave pública do desenvolvedor, baixar o arquivo ISO e o arquivo de assinatura GPG e verificar a assinatura do arquivo ISO usando a chave pública do desenvolvedor. Se a assinatura for válida, o arquivo ISO é autêntico e não foi modificado.
Como verificar arquivos ISO no Linux: exemplos
Veja alguns exemplos dos métodos acima de verificação de arquivos ISO usando somas de verificação SHA-256 e assinaturas GPG no Linux.
Verificar arquivos ISO usando somas de verificação SHA-256:
O pessoal do Debug Point baixou um arquivo ISO Linux Mint 21.1 do site oficial para essa demosntração. Além disso, eles também baixaram o arquivo de texto SHA-256 contendo a soma de verificação para os arquivos ISO também (veja a imagem acima).
- Uma vez seguidos os passos realizados por eles acima, agora, abra um terminal e vá para o diretório onde estão os arquivos de soma de verificação ISO e SHA-256.
- Gere o valor da soma de verificação SHA-256 do arquivo ISO usando o sha256sumcomando no terminal. Por exemplo, para gerar o valor da soma de verificação do arquivo ISO acima chamado, execute o seguinte comando: linuxmint-21.1-cinnamon-64bit.iso
sha256sum linuxmint-21.1-cinnamon-64bit.iso
Compare o valor da soma de verificação gerado com o valor da soma de verificação no arquivo de soma de verificação SHA-256. Se os dois valores corresponderem, o arquivo ISO é autêntico e não foi modificado.
Aqui está uma comparação lado a lado para o arquivo ISO acima.
E você pode ter certeza de que o arquivo é genuíno e não foi adulterado se a soma de verificação corresponder. Você pode usar o mesmo comando para qualquer outro arquivo ISO e soma de verificação para verificação.
Agora, vamos ver como você pode verificar usando a chave gpg.
Verifique os arquivos ISO usando a assinatura GPG
Para o exemplo acima, eles baixaram o arquivo .gpg juntamente com o arquivo ISO do site oficial. O próximo passo é baixar e importar a chave pública do desenvolvedor. Você pode baixar a chave pública do site do desenvolvedor ou de um servidor de chaves.
Eles usaram o comando abaixo para baixar a chave pública do Linux Mint para este exemplo. Portanto, para o arquivo ISO do respectivo arquivo de distribuição do Linux, consulte a página de download para descobrir a chave pública.
gpg --keyserver hkp://keyserver.ubuntu.com:80 --recv-key "27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09"
Feito isso, execute o comando gpg abaixo para verificar o arquivo.
gpg --verify sha256sum.txt.gpg sha256sum.txt
Se o arquivo for genuíno, você deverá ver a mensagem “Boa assinatura” como saída do comando acima. Além disso, você pode corresponder aos últimos 8 bytes da chave pública. O “Warning” é uma mensagem genérica que você pode ignorar.