Verificar integridade de ISO de sistemas operacionais Linux RESOLVIDO

Iniciado por brunosh, 17 de Fevereiro de 2017, 18:51

tópico anterior - próximo tópico

brunosh

Boa Noite Suspeito  que minha imagem ISO do Ubuntu tenha tenha sido violada durante o download pois no site oficial diz 1,4gb quando baixo a ISO tem 1,5gb.
Usei apenas o Gtkhash para verificar os números MD5 E  SHA estao corretos mais ainda sim nao sinto segurança na imagem iso baixada posso ficar tranquilo ou necessário fazer a verificação gpg como orientada no site oficial ubuntu www.ubuntu.com/download/how-to-verify
Apenas comparando os numeros exibidos no Gtkhash com lista  abaixo > posso ter segurança da imagem ISO baixada ?
http://releases.ubuntu.com/16.04/?_ga=1.148378103.1718776614.1487364156
Obrigado pela atenção

creto

#1
Olá,

Amigo isso é bem recorrente aqui no fórum, mas...

Abra o terminal (já que acima você diz estar no Linux) e por exemplo o arquivo ISO esta na pasta Downloads, então:

cd Downloads + Enter

Você entrará na pasta Downloads, dê um ls a primeira letra é "L", com isso você visualizará o nome da imagem ISO, então:

md5sum -t ubuntu-fulano-de-tal.iso

Dai é so comparar uma saida como essa com o md5 fornecido pelo site ou em um arquivo que pode vir junto ao download, mais ou menos assim:

benedito@lubuntu:~/Downloads/pclinuxos64-lxde-br-2017.1$ md5sum -t pclos_br_lxde_64_2017.1.iso
fb6a4444053ef6e35fe7d2ce293c717a  pclos_br_lxde_64_2017.1.iso
benedito@lubuntu:~/Downloads/pclinuxos64-lxde-br-2017.1$


Aqui o md5 fornecido pelo comando:
fb6a4444053ef6e35fe7d2ce293c717a

Espero ter sido útil de alguma forma

T+


A vida, é feito andar de bicicleta, se parar, você cai! (Gabriel Contino)
Blog do Paulo Corrêa Creto

druidaobelix

#2
Pois então, "brunosh"

Melhor aguardar um pouco antes de começar a usar, vamos apurar melhor o que possa estar ocorrendo.

Já que você mencionou o problema também baixei o arquivo do Ubuntu 16.04.2, que é o release novo, recém lançado, conferido md5/sha1/sha256, tudo ok, porém a assinatura não está conferindo, o que não deveria estar ocorrendo.
O arquivo baixado corresponde a 1.554.186.240 bytes para a arquitetura 64-bit, ubuntu-16.04.2-desktop-amd64.iso
Fiz muito apressadamente, vou refazer para confirmar.

Seria uma proeza adulterar intencionalmente o arquivo, mantendo a compatibilidade de hashes, ainda nas três formas mencionadas, não tenho notícia disso.
Nada obstante, na dúvida, a chave também tem que "bater", o gpg está lá para isso, e de imediato não está conferindo, então melhor apurar mais em detalhes essa divergência na assinatura.
Eventualmente o arquivo SHA256SUMS.gpg ainda não está atualizado no site de download.
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

druidaobelix

#3
Pronto, descobri o que estava dando errado, o arquivo baixado está íntegro, a assinatura está conferindo.

Acontece que naquela página de procedimentos postado:

How to verify your Ubuntu download

https://www.ubuntu.com/download/how-to-verify

Na última parte da execução, que corresponde ao "Check the ISO", se estiver usando o Ubuntu com idioma Português precisa alterar o comando de OK para SUCESSO, aí funciona é dá certo.

Então fica assim:

sha256sum -c SHA256SUMS 2>&1 | grep SUCESSO

Então, como conclusão, estão de acordo as verificações de md5/SHA1/SHA2 e a verificação de assinatura, logo, o arquivo é confiável, pode usar sem susto.

www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

druidaobelix

Testei concretamente o iso baixado num live-iso e subi o sistema por ele. Tudo funcionando normalmente.

À propósito, esse release 16.04.2 já vem com o kernel 4.8, como estava previsto.

Citarubuntu@ubuntu:~$ uname -srvm
Linux 4.8.0-36-generic #36~16.04.1-Ubuntu SMP Sun Feb 5 09:39:57 UTC 2017 x86_64
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

creto

Rapaz se a saida de md5sum -t isofulanodetal.iso for o mesmo indicado no site do ubuntu é X e não Y pronto, para que, ter tanto medo.

Não complicar o descomplicado!

T+
A vida, é feito andar de bicicleta, se parar, você cai! (Gabriel Contino)
Blog do Paulo Corrêa Creto

druidaobelix

De fato, como antes dito, muito provavelmente havendo a confirmação de que o checksum do arquivo iso está de acordo com o hash mencionado pelo autor, isso assevera a integridade do arquivo, embora não a autenticidade da origem.

Há porém uma exceção, que é quando um site possa ter sido invadido e violado o seu conteúdo.
Nesse caso um arquivo de imagem iso pode ter sido intencionalmente substituído por outro violado e ainda o arquivo de hashes igualmente ter sido substituído por outro falsificado conforme o iso também falso, portanto, nesse caso, não bastaria a verificação do checksum.

Obviamente estaria, sem saberr, verificando um checksum violado e comparando com um hash também violado, o que resultaria num resultado de que o arquivo está íntegro, porém se trata de um arquivo iso falso, intencionalmente violado, logo, há aí uma falha severa de segurança.

Não há notícia de que uma circunstância como essa tenha alguma dia ocorrido nos servidores da Canonical, que é a desenvolvedora do Ubuntu, porém, como se sabe, há um precedente em relação à distribuição Mint, cujos servidores foram invadidos em 20 de fevereiro de 2016 e essa espécie de violação substituindo os arquivos iso do Mint foi executada.

Naquela ocasião ocorreram vários downloads do iso Mint fraudado até que se descobrisse o problema.

Nesse caso uma verificação completa, como proposto pelo roteiro padrão "How to verify your Ubuntu download" certamente teria sido útil na identificação da fraude consumada, então, não é de todo irrelevante dizer que aquela verificação nunca é necessária.

Em matéria de segurança de sistema computacional havendo alguma dúvida ou suspeita, sempre é melhor ter a cautela adicional e fazer a verificação completa, usando também a autenticação da assinatura.

Essa cautela é particularmente relevante caso de trate de um sistema vinculado a transações comerciais e financeiras.
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

brunosh

#7
Obrigado Pela Atenção de todos  As duas ISO do ubuntu que baixei sao do 16.04.1 ambas com 1.5 gb pelo tamanho diferente do do site 1.4 gb preferi esperar tirar a duvida para poder queimar  no disco para instalar o resultado do  md5sum -t ubuntu-16.04.1-desktop-amd64.iso
17643c29e3c4609818f26becf76d29a3  ubuntu-16.04.1-desktop-amd64.iso ja procurei muito no youtube alguma explicação de como fazer checagem gpg se alguem souber de algum tutorial explicando nao consigo entender muito bem as instruções do site www.ubuntu.com/download/how-to-verify
gostaria de aprender a fazer todas a verificações possíveis pois gostaria de testar o Debian puro futuro.
Vou baixar a 16.04.02 para testar com dicas que me passarem obrigado pela atenção.

druidaobelix

#8
O roteiro que você próprio indicou é bastante simples de ser seguido.

Vamos mencionar, como exemplo, o sha256 (=sha2) que é a verificação mais completa e segura, mas é a mesma coisa para md5 e sha1

No mesmo diretório precisam estar os arquivos:

ubuntu_isso_e_aquilo.iso baixado

SHA256SUMs.gpg

SHA256SUMS

Esse último é um arquivo texto, onde está a relação dos hashes.

Então ou abra a página web e copie os hashes para um arquivo texto e salve com aquele nomes, exatamente daquele modo, maiúsculas, SHA256SUMS, ou mais fácil ainda, supondo que baixou o arquivo .iso e .gpg para o diretório Downloads (ou qualquer outro), então na página web no link correspondente use Copiar link e numa janela de terminal, de dentro do diretório, cole:

wget http://releases.ubuntu.com/xenial/SHA256SUMS

ou seja, digite wget e cole o link obtido, aí é só dar enter que o wget fará o download do arquivo texto correspondente.

Estando os três dentro do mesmo diretório, é só seguir exatamente como está dentro do roteiro mencionado, apenas fazendo aquela alteração mencionada antes, que é substituir o filtro OK por SUCESSO, quem usa Ubuntu em Português.

Vou traduzir aqui aquele roteiro para talvez facilitar o entendimento de quem queira fazer.

www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

druidaobelix

Verifique esse tópico que postei agora em "Dicas e Truques"

Como verificar a procedência e integridade corretos dos ISO Ubuntu

http://ubuntuforum-br.org/index.php/topic,121445.0.html

Acho que assim dá para entender melhor como fazer a verificação.
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

brunosh

Obrigado pela dicas druidaobelix vou baixar a ISO 16.04.2 para testar conforme o indicado valeu.

brunosh

 druidaobelix fiquei com duas duvidas porque quando digito o comando |gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451"|  nao aparece as a respostas conforme o script oficial da canonical no site oficial www.ubuntu.com/download/how-to-verify porque aparece esse resultado? WARNING: This key is not certified with a trusted signature!
resultado do comando segundo a canonical.
gpg: directory `/home/ubuntu/.gnupg' created
gpg: new configuration file `/home/ubuntu/.gnupg/gpg.conf' created
gpg: WARNING: options in `/home/ubuntu/.gnupg/gpg.conf' are not yet active during this run
gpg: keyring `/home/ubuntu/.gnupg/secring.gpg' created
gpg: keyring `/home/ubuntu/.gnupg/pubring.gpg' created
gpg: requesting key EFE21092 from hkp server keyserver.ubuntu.com
gpg: requesting key FBB75451 from hkp server keyserver.ubuntu.com
gpg: /home/ubuntu/.gnupg/trustdb.gpg: trustdb created
gpg: key EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" imported
gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 2
gpg:               imported: 2  (RSA: 1)
_________________________________________________________________________________________________________________________________________________________________
Minha tentativa
Downloads$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451"gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 Fgpg: requisitando chave EFE21092 de servidor hkp - keyserver.ubuntu.com
gpg: requisitando chave FBB75451 de servidor hkp - keyserver.ubuntu.com
gpg: chave EFE21092: "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>"
gpg: chave FBB75451: "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>"
gpg: Número total processado: 2
gpg:              não modificados: 2
Downloads$ gpg --list-keys --with-fingerprint 0xFBB75451 0xEFE21092
pub   4096R/EFE21092 2012-05-11
      Impressão digital da chave: 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092
uid                  Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>

pub   1024D/FBB75451 2004-12-30
      Impressão digital da chave: C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
uid                  Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>

dDownloads$ gpg --verify SHA256SUMS.gpg SHA256SUMS
gpg: Assinatura feita Qui 16 Fev 2017 22:04:27 BRST usando DSA chave ID FBB75451
gpg: Assinatura correta de "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>"
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!
gpg:          Não há indicação de que a assinatura pertence ao dono.
Impressão digital da chave primária: C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
gpg: Assinatura feita Qui 16 Fev 2017 22:04:27 BRST usando RSA chave ID EFE21092
gpg: Assinatura correta de "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>"
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!
gpg:          Não há indicação de que a assinatura pertence ao dono.
Impressão digital da chave primária: 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092
/Downloads$  sha256sum -c SHA256SUMS 2>&1 | grep SUCESSO
ubuntu-16.04.2-desktop-amd64.iso: SUCESSO
Downloads$ shasum -a 256 -c SHA256SUMS 2>&1 | grep OK
ubuntu-16.04.2-desktop-amd64.iso: OK

brunosh

Aos moderadores existe algum risco de segurança eu publicar o resultado destes testes ? regras do forum  Os administradores e moderadores do fórum não se responsabilizam pelos possíveis danos ocasionados por conteúdo publicado no fórum.

druidaobelix

Citação de: brunosh online 25 de Fevereiro de 2017, 17:19
[...] fiquei com duas duvidas porque quando digito o comando |gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451"|  [...]

Então, "brunosh",

Como disse antes lá no artigo referenciado (post #9), o que interessa do ponto de vista prático é obter a informação que já está nos seus resultados:

gpg: Assinatura correta de "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>"

Se o resultado está dizendo que a assinatura está correta, então é porque a assinatura está correta.

Entender todo esse processo necessita estudar um pouco os meandros do GPG para poder interpretar o signficado das particularidades.
Existe muito material na internet e que pode facilmente ser acessado explicando como isso funciona.

Dentre centenas e centenas, apenas um exemplo:

Guia do Linux/Avançado/Introdução ao uso de criptografia para transmissão/armazenamento de dados/Usando pgp (gpg)para criptografia de arquivos

https://pt.wikibooks.org/wiki/Guia_do_Linux/Avan%C3%A7ado/Introdu%C3%A7%C3%A3o_ao_uso_de_criptografia_para_transmiss%C3%A3o/armazenamento_de_dados/Usando_pgp_(gpg)para_criptografia_de_arquivos

Se textos em inglês forem possíveis e razoavelmente confortáveis, aí então vira uma infinidade.

Nessa modalidade de idioma, dentre milhares, uma resposta bastante sintética e interessante:

GPG why is my trusted key not certified with a trusted signature?

http://security.stackexchange.com/questions/147447/gpg-why-is-my-trusted-key-not-certified-with-a-trusted-signature

www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

brunosh

 druidaobelix obrigado pela atenção para me manter o mais seguro possivel é necessario estudar mais sobre assunto vou analisar os guias indicados obrigado pela atenção.