Como verificar a procedência e integridade corretos dos ISO Ubuntu

druidaobelix · 18 de Fevereiro de 2017, 19:09

O presente roteiro é uma simples tradução e adaptação do roteiro originalmente existente em:

How to verify your Ubuntu download

https://www.ubuntu.com/download/how-to-verify

O objetivo é tentar tornar um pouco mais claro o procedimento a ser realizado, sobremodo porque o roteiro original se encontra em idioma inglês.

Usando como exemplo o arquivo iso da versão 16.04.2, 64-bit, Desktop, e usando o wget para baixar os arquivos necessários. Também pode ser feito diretamente pelo browser (=navegador), mas a explicação do roteiro usando o wget facilita a execução e o entendimento.

Vamos supor, ainda, que os arquivos serão baixados e tratados de dentro do diretório ~/Downloads, mas também pode ser qualquer outro.

A tradução do roteiro apenas explica como fazer e não entra em detalhes de explicações acerca do significado detalhado de cada etapa (porque precisaria de um outro tutorial para tanto, o que não é o objetivo mais imediato), contentando-se apenas em como fazer de forma prática.

1) Baixando os arquivos necessários

Estando na página web dos arquivos iso da versão que se pretende baixar, com o botão direito do mouse copie os links necessários ao wget e então cole tais endereços no terminal, após o wget:

http://releases.ubuntu.com/xenial/

Baixar os arquivos necessários:

a) baixando o arquivo iso

Código Selecionar

wget http://releases.ubuntu.com/xenial/ubuntu-16.04.2-desktop-amd64.iso

b) baixando o arquivo SHA256SUMS.gpg

Código Selecionar

wget http://releases.ubuntu.com/xenial/SHA256SUMS.gpg

c) baixando o arquivo texto SHA256SUMS

Código Selecionar

wget http://releases.ubuntu.com/xenial/SHA256SUMS

2) Obtendo a chave da assinatura

Numa janela de terminal digitar (ou copiar aqui e colar lá, mais fácil):

Código Selecionar

gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451"

Vai resultar como saída do comando acima:

Citar
gpg: requisitando chave FBB75451 de servidor hkp - keyserver.ubuntu.com
gpg: /home/ubuntu/.gnupg/trustdb.gpg: banco de dados de confiabilidade criado
gpg: chave EFE21092: chave pública "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" importada
gpg: chave FBB75451: chave pública "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" importada
gpg: ultimamente não encontradas chaves confiáveis
gpg: Número total processado: 2
gpg: importados: 2 (RSA: 1)

3) Verificando as impressões digitais (=fingerprint)

O fingerprint é um identificador que referencia uma identidade única de um determinado arquivo, obtido através de um algoritmo. Como nas impressões digitais humanas, a impressão digital do arquivo é única e, portanto, comparável.

Digite no terminal:

Código Selecionar

gpg --list-keys --with-fingerprint 0xFBB75451 0xEFE21092

Vai resultar:

Citar
pub 4096R/EFE21092 2012-05-11
Impressão digital da chave: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
uid Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>

pub 1024D/FBB75451 2004-12-30
Impressão digital da chave: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
uid Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>

4) Verificando a assinatura

Isso feito, agora a verificação da assinatura (note que é por essa razão que os arquivos SHA256SUMS.gpg e o arquivo texto SHA256SUMS precisam estar no mesmo diretório junto com o .iso), de dentro do diretório onde estão o iso e os arquivos mencionadosls:

Digite no terminal:

Código Selecionar

gpg --verify SHA256SUMS.gpg SHA256SUMS

Vai resultar:

Citar
gpg: Assinatura feita Qui 16 Fev 2017 22:04:27 BRST usando DSA chave ID FBB75451
gpg: Assinatura correta de "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>"
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!
gpg: Não há indicação de que a assinatura pertence ao dono.
Impressão digital da chave primária: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
gpg: Assinatura feita Qui 16 Fev 2017 22:04:27 BRST usando RSA chave ID EFE21092
gpg:tu Assinara correta de "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>"
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!
gpg: Não há indicação de que a assinatura pertence ao dono.
Impressão digital da chave primária: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092

Observação:
É impotante obter acima a expressão "Assinatura correta".
Este é um exemplo de assinatura "boa". O GPG está apenas validando a integridade do arquivo fornecido. As mensagens de aviso indicam que seu banco de dados de confiança atual do GnuPG não tem informações de confiança para a chave de assinatura e que, a menos que você tenha realmente verificado e assinado uma das chaves públicas pertencentes aos assinantes da chave de assinatura de imagem ISO do Ubuntu, irá receber essas mensagens de alertas.

5) Verificando o arquivo ISO

Execute agora na janela do terminal:

Código Selecionar

sha256sum -c SHA256SUMS 2>&1 | grep SUCESSO

Deve resultar:

Citarubuntu-16.04.2-desktop-amd64.iso: SUCESSO

Qualquer outro resultado que não esse ou ausência de resultado indicam algum problema com o arquivo ISO e então deve ser rejeitado e obtido um novo.

druidaobelix · 18 de Fevereiro de 2017, 19:10

A origem e motivação desse post como "Dicas e Truques" se deu em razão do post original do colega "brunosh", conforme se vê nesse link:

Verificar integridade de ISO de sistemas operacionais Linux

http://ubuntuforum-br.org/index.php/topic,121439.msg667133.html#msg667133

As considerações lá efetuadas complementam o roteiro prático aqui ora postado.

druidaobelix · 18 de Fevereiro de 2017, 19:10

Reservado

Numa etapa posterior se pode explicar onde e como os dados de verificação podem ser obtidos, se bem que uma observação atenta desde logo desvelará a forma de agrupamento das informações.

krekml · 08 de Outubro de 2020, 22:07

Boa noite,

Ótimo trabalho em trazer esse material tão explicativo, porém fiquei na dúvida.. Onde consigo a chave pública de assinatura do Ubuntu? A do OpenSuse por exemplo é bem fácil de encontrar, está na própria página de download da imagem, agora a do Ubuntu revirei o site e não encontrei, e isso vale para as demais versões, como o Xubuntu por exemplo.

creto · 09 de Outubro de 2020, 17:15

Aqui o tópico trata do md5sum, certo?

Quanto a chaves públicas leia >>> aqui <<<

Espero ter sido útil de alguma forma.

T+

krekml · 13 de Outubro de 2020, 10:37

Bom dia creto,

Obrigado pela resposta, é bem útil para entender melhor sobre as chaves, mas gostaria de saber onde consigo a chave pública do Ubuntu e de seus sabores, como o Xubuntu por exemplo. Como citei na minha resposta, outras distros trazem essa informação em seus sites de forma bem simples de encontrar, como Mint, OpenSuse e Debian.

Na busca que fiz no site do Ubuntu não consegui encontrar.

selvaking · 14 de Outubro de 2020, 11:02

Citação de: krekml online 13 de Outubro de 2020, 10:37
Obrigado pela resposta, é bem útil para entender melhor sobre as chaves, mas gostaria de saber onde consigo a chave pública do Ubuntu e de seus sabores, como o Xubuntu por exemplo. Como citei na minha resposta, outras distros trazem essa informação em seus sites de forma bem simples de encontrar, como Mint, OpenSuse e Debian.

Se vc acessar http://releases.ubuntu.com/ dentro da pasta de cada distro tem o que vc quer.

krekml · 14 de Outubro de 2020, 14:58

Obrigado por responder, mas já havia acessado essa página e não encontrei.

CelticWarrior · 14 de Outubro de 2020, 16:51

http://releases.ubuntu.com/20.04.1/SHA256SUMS

Este é um enlace direto para Ubuntu 20.04.1.

selvaking · 14 de Outubro de 2020, 17:28

Citação de: krekml online 14 de Outubro de 2020, 14:58
Obrigado por responder, mas já havia acessado essa página e não encontrei.

Se não for isso abaixo que vc procura então tente ser mais específico.
Pois é isso que uso pra saber se a cópia que eu fiz download está perfeita como a origem.

http://releases.ubuntu.com/focal/SHA256SUMS

Código Selecionar

b45165ed3cd437b9ffad02a2aad22a4ddc69162470e2622982889ce5826f6e3d *ubuntu-20.04.1-desktop-amd64.iso
443511f6bf12402c12503733059269a2e10dec602916c0a75263e5d990f6bb93 *ubuntu-20.04.1-live-server-amd64.iso

Faça o download dos arquivos ISO na mesma pasta do arquivo de verificação de integridade "SHA256SUMS".

Código Selecionar

wget -c http://releases.ubuntu.com/focal/ubuntu-20.04.1-desktop-amd64.iso
wget -c http://releases.ubuntu.com/focal/ubuntu-20.04.1-live-server-amd64.iso
wget -c http://releases.ubuntu.com/focal/SHA256SUMS
sha256sum -c SHA256SUMS

Após download dos arquivos o último comando faz a conferência. Se for OK ou SUCESSO tá tudo beleza.

Código Selecionar

usuario@machine:~/Downloads$ sha256sum -c SHA256SUMS
ubuntu-20.04.1-desktop-amd64.iso: SUCESSO
ubuntu-20.04.1-live-server-amd64.iso: SUCESSO

Só isso já é suficiente!