Autor Tópico: Como verificar a procedência e integridade corretos dos ISO Ubuntu  (Lida 393 vezes)

Offline druidaobelix

  • Usuário Ubuntu
  • *
  • Mensagens: 4.666
    • Ver perfil
Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Online: 18 de Fevereiro de 2017, 19:09 »
O presente roteiro é uma simples tradução e adaptação do roteiro originalmente existente em:

How to verify your Ubuntu download

https://www.ubuntu.com/download/how-to-verify

O objetivo é tentar tornar um pouco mais claro o procedimento a ser realizado, sobremodo porque o roteiro original se encontra em idioma inglês.

Usando como exemplo o arquivo iso da versão 16.04.2, 64-bit, Desktop, e usando o wget para baixar os arquivos necessários. Também pode ser feito diretamente pelo browser (=navegador), mas a explicação do roteiro usando o wget facilita a execução e o entendimento.

Vamos supor, ainda, que os arquivos serão baixados e tratados de dentro do diretório ~/Downloads, mas também pode ser qualquer outro.

A tradução do roteiro apenas explica como fazer e não entra em detalhes de explicações acerca do significado detalhado de cada etapa (porque precisaria de um outro tutorial para tanto, o que não é o objetivo mais imediato), contentando-se apenas em como fazer de forma prática.

1) Baixando os arquivos necessários

Estando na página web dos arquivos iso da versão que se pretende baixar, com o botão direito do mouse copie os links necessários ao wget e então cole tais endereços no terminal, após o wget:

http://releases.ubuntu.com/xenial/

Baixar os arquivos necessários:

a) baixando o arquivo iso

Código: [Selecionar]
wget http://releases.ubuntu.com/xenial/ubuntu-16.04.2-desktop-amd64.iso
b) baixando o arquivo SHA256SUMS.gpg

Código: [Selecionar]
wget http://releases.ubuntu.com/xenial/SHA256SUMS.gpg
c) baixando o arquivo texto SHA256SUMS

Código: [Selecionar]
wget http://releases.ubuntu.com/xenial/SHA256SUMS

2) Obtendo a chave da assinatura

Numa janela de terminal digitar (ou copiar aqui e colar lá, mais fácil):

Código: [Selecionar]
gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451"
Vai resultar como saída do comando acima:

Citar
gpg: requisitando chave FBB75451 de servidor hkp - keyserver.ubuntu.com
gpg: /home/ubuntu/.gnupg/trustdb.gpg: banco de dados de confiabilidade criado
gpg: chave EFE21092: chave pública "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" importada
gpg: chave FBB75451: chave pública "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" importada
gpg: ultimamente não encontradas chaves confiáveis
gpg: Número total processado: 2
gpg:               importados: 2  (RSA: 1)


3) Verificando as impressões digitais (=fingerprint)

O fingerprint é um identificador que referencia uma identidade única de um determinado arquivo, obtido através de um algoritmo. Como nas impressões digitais humanas, a impressão digital do arquivo é única e, portanto, comparável.

Digite no terminal:

Código: [Selecionar]
gpg --list-keys --with-fingerprint 0xFBB75451 0xEFE21092
Vai resultar:

Citar
pub   4096R/EFE21092 2012-05-11
      Impressão digital da chave: 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092
uid                  Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>

pub   1024D/FBB75451 2004-12-30
      Impressão digital da chave: C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
uid                  Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>


4) Verificando a assinatura

Isso feito, agora a verificação da assinatura (note que é por essa razão que os arquivos SHA256SUMS.gpg e o arquivo texto SHA256SUMS precisam estar no mesmo diretório junto com o .iso), de dentro do diretório onde estão o iso e os arquivos mencionadosls:

Digite no terminal:

Código: [Selecionar]
gpg --verify SHA256SUMS.gpg SHA256SUMS
Vai resultar:

Citar
gpg: Assinatura feita Qui 16 Fev 2017 22:04:27 BRST usando DSA chave ID FBB75451
gpg: Assinatura correta de "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>"
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!
gpg:          Não há indicação de que a assinatura pertence ao dono.
Impressão digital da chave primária: C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
gpg: Assinatura feita Qui 16 Fev 2017 22:04:27 BRST usando RSA chave ID EFE21092
gpg:tu Assinara correta de "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>"
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!
gpg:          Não há indicação de que a assinatura pertence ao dono.
Impressão digital da chave primária: 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092


Observação:
É impotante obter acima a expressão "Assinatura correta".
Este é um exemplo de assinatura "boa". O GPG está apenas validando a integridade do arquivo fornecido. As mensagens de aviso indicam que seu banco de dados de confiança atual do GnuPG não tem informações de confiança para a chave de assinatura e que, a menos que você tenha realmente verificado e assinado uma das chaves públicas pertencentes aos assinantes da chave de assinatura de imagem ISO do Ubuntu, irá receber essas mensagens de alertas.


5) Verificando o arquivo ISO

Execute agora na janela do terminal:

Código: [Selecionar]
sha256sum -c SHA256SUMS 2>&1 | grep SUCESSO
Deve resultar:

Citar
ubuntu-16.04.2-desktop-amd64.iso: SUCESSO

Qualquer outro resultado que não esse ou ausência de resultado indicam algum problema com o arquivo ISO e então deve ser rejeitado e obtido um novo.

« Última modificação: 19 de Fevereiro de 2017, 03:13 por druidaobelix »
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

Offline druidaobelix

  • Usuário Ubuntu
  • *
  • Mensagens: 4.666
    • Ver perfil
Re:Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #1 Online: 18 de Fevereiro de 2017, 19:10 »
A origem e motivação desse post como "Dicas e Truques" se deu em razão do post original do colega "brunosh", conforme se vê nesse link:

Verificar integridade de ISO de sistemas operacionais Linux

http://ubuntuforum-br.org/index.php/topic,121439.msg667133.html#msg667133

As considerações lá efetuadas complementam o roteiro prático aqui ora postado.

« Última modificação: 18 de Fevereiro de 2017, 19:15 por druidaobelix »
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

Offline druidaobelix

  • Usuário Ubuntu
  • *
  • Mensagens: 4.666
    • Ver perfil
Re:Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #2 Online: 18 de Fevereiro de 2017, 19:10 »
Reservado

Numa etapa posterior se pode explicar onde e como os dados de verificação podem ser obtidos, se bem que uma observação atenta desde logo desvelará a forma de agrupamento das informações.
« Última modificação: 18 de Fevereiro de 2017, 19:16 por druidaobelix »
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.