Bulan lalu, situs Linux Mint diretas, dan ISO yang dimodifikasi disiapkan untuk diunduh termasuk backdoor. Sementara masalah itu diperbaiki dengan cepat, itu menunjukkan pentingnya memeriksa file ISO Linux yang Anda unduh sebelum menjalankan dan menginstalnya. Begini caranya.
Distribusi Linux menerbitkan checksum sehingga Anda dapat mengkonfirmasi file yang Anda unduh adalah apa yang mereka klaim, dan ini sering ditandatangani sehingga Anda dapat memverifikasi bahwa checksum itu sendiri belum dirusak. Ini sangat berguna jika Anda mengunduh ISO dari tempat lain selain situs utama - seperti cermin pihak ketiga, atau melalui BItTorrent, di mana jauh lebih mudah bagi orang untuk mengutak-atik file.
Proses pengecekan ISO agak rumit, jadi sebelum kita masuk ke langkah-langkah yang tepat, mari kita jelaskan apa tepatnya proses yang diperlukan:
Prosesnya mungkin sedikit berbeda untuk ISO yang berbeda, tetapi biasanya mengikuti pola umum tersebut. Misalnya, ada beberapa jenis checksum yang berbeda. Secara tradisional, jumlah MD5 telah menjadi yang paling populer. Namun, jumlah SHA-256 sekarang lebih sering digunakan oleh distribusi Linux modern, karena SHA-256 lebih tahan terhadap serangan teoritis. Kami terutama akan membahas jumlah SHA-256 di sini, meskipun proses serupa akan berfungsi untuk jumlah MD5. Beberapa distro Linux juga dapat memberikan jumlah SHA-1, meskipun ini bahkan kurang umum.
Demikian pula, beberapa distro tidak menandatangani checksum mereka dengan PGP. Anda hanya perlu melakukan langkah 1, 2, dan 5, tetapi prosesnya jauh lebih rentan. Lagi pula, jika penyerang dapat mengganti file ISO untuk diunduh, mereka juga dapat mengganti checksum.
Menggunakan PGP jauh lebih aman, tetapi tidak sangat mudah. Penyerang masih bisa mengganti kunci publik itu dengan milik mereka sendiri, mereka masih bisa menipu Anda agar berpikir bahwa ISO itu sah. Namun, jika kunci publik di-host di server yang berbeda-sebagaimana halnya dengan Linux Mint-ini menjadi jauh lebih kecil (karena mereka harus meretas dua server, bukan hanya satu). Tetapi jika kunci publik disimpan di server yang sama dengan ISO dan checksum, seperti halnya dengan beberapa distro, maka itu tidak menawarkan banyak keamanan.
Namun, jika Anda mencoba memverifikasi tanda tangan PGP pada file checksum dan kemudian memvalidasi unduhan Anda dengan checksum itu, itu semua dapat Anda lakukan sebagai pengguna akhir mengunduh ISO Linux. Anda masih jauh lebih aman daripada orang yang tidak peduli.
Kami akan menggunakan Linux Mint sebagai contoh di sini, tetapi Anda mungkin perlu mencari situs web distribusi Linux Anda untuk menemukan opsi verifikasi yang ditawarkannya. Untuk Linux Mint, dua file disediakan bersama dengan pengunduhan ISO pada mirror unduhannya. Unduh ISO, lalu unduh file "sha256sum.txt" dan "sha256sum.txt.gpg" ke komputer Anda. Klik kanan file dan pilih "Save Link As" untuk mengunduhnya.
Pada desktop Linux Anda, buka jendela terminal dan unduh kunci PGP. Dalam hal ini, kunci PGP Linux Mint di-host di server kunci Ubuntu, dan kita harus menjalankan perintah berikut untuk mendapatkannya.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2
Situs web distro Linux Anda akan mengarahkan Anda ke arah kunci yang Anda butuhkan.
Kami sekarang memiliki semua yang kami butuhkan: ISO, file checksum, file tanda tangan digital checksum, dan kunci PGP. Jadi selanjutnya, ganti ke folder yang diunduh ke ...
cd ~ / Downloads
… Dan jalankan perintah berikut untuk memeriksa tanda tangan dari file checksum:
gpg --verifikasi sha256sum.txt.gpg sha256sum.txt
Jika perintah GPG memberi tahu Anda bahwa file sha256sum.txt yang diunduh memiliki "tanda tangan yang bagus", Anda dapat melanjutkan. Pada baris keempat screenshot di bawah ini, GPG memberi tahu kami bahwa ini adalah "tanda tangan bagus" yang mengklaim terkait dengan Clement Lefebvre, pencipta Linux Mint.
Jangan khawatir bahwa kunci tidak disertifikasi dengan “tanda tangan tepercaya.” Ini karena cara enkripsi PGP berfungsi - Anda belum menyiapkan jaringan kepercayaan dengan mengimpor kunci dari orang tepercaya. Kesalahan ini akan sangat umum.
Terakhir, sekarang kita tahu checksum dibuat oleh pengelola Linux Mint, jalankan perintah berikut untuk menghasilkan checksum dari file iso yang diunduh dan bandingkan dengan file TXT checksum yang Anda unduh:
sha256sum - periksa sha256sum.txt
Anda akan melihat banyak pesan "tidak seperti file atau direktori" jika Anda hanya mengunduh satu file ISO, tetapi Anda akan melihat pesan "OK" untuk file yang Anda unduh jika cocok dengan checksum.
Anda juga dapat menjalankan perintah checksum langsung pada file iso. Ini akan memeriksa file iso dan memuntahkan checksumnya.Anda kemudian dapat memeriksanya sesuai checksum yang valid dengan melihat keduanya dengan mata Anda.
Misalnya, untuk mendapatkan jumlah SHA-256 dari file ISO:
sha256sum /path/to/file.iso
Atau, jika Anda memiliki nilai md5sum dan perlu mendapatkan md5sum file:
md5sum / path/to/file.iso
Bandingkan hasilnya dengan file TXT checksum untuk melihat apakah mereka cocok.
Jika Anda mengunduh ISO Linux dari mesin Windows, Anda juga dapat memverifikasi checksum di sana - meskipun Windows tidak memiliki perangkat lunak yang diperlukan yang ada di dalamnya. Jadi, Anda harus mengunduh dan menginstal alat Gpg4win sumber terbuka.
Cari file kunci penandatanganan dan file checksum distro Linux Anda. Kami akan menggunakan Fedora sebagai contoh di sini. Situs web Fedora menyediakan unduhan checksum dan memberi tahu kami bahwa kami dapat mengunduh kunci penandatangan Fedora dari https://getfedora.org/static/fedora.gpg.
Setelah Anda mengunduh file-file ini, Anda perlu menginstal kunci penandatanganan menggunakan program Kleopatra yang disertakan dengan Gpg4win. Luncurkan Kleopatra, dan klik File> Import Certificates. Pilih file .gpg yang Anda unduh.
Anda sekarang dapat memeriksa apakah file checksum yang diunduh ditandatangani dengan salah satu file kunci yang Anda impor. Untuk melakukannya, klik File> Dekripsi / Verifikasi File. Pilih file checksum yang diunduh. Hapus centang opsi "Input file is a unpached signature" dan klik "Decrypt / Verify."
Anda pasti akan melihat pesan kesalahan jika Anda melakukannya dengan cara ini, karena Anda tidak mengalami kesulitan untuk mengonfirmasi sertifikat Fedora itu sebenarnya sah. Itu tugas yang lebih sulit. Ini adalah cara PGP dirancang untuk bekerja-Anda bertemu dan bertukar kunci secara pribadi, misalnya, dan mengumpulkan jaringan kepercayaan. Kebanyakan orang tidak menggunakannya dengan cara ini.
Namun, Anda dapat melihat detail lebih lanjut dan mengonfirmasi bahwa file checksum telah ditandatangani dengan salah satu kunci yang Anda impor. Ini jauh lebih baik daripada hanya mempercayai file ISO yang diunduh tanpa memeriksa.
Anda sekarang harus dapat memilih File> Verifikasi File Checksum dan mengkonfirmasi informasi dalam file checksum sesuai dengan file .iso yang diunduh. Namun, ini tidak berhasil untuk kami-mungkin itu hanya cara file checksum Fedora ditata. Ketika kami mencoba ini dengan file sha256sum.txt Linux Mint, itu berhasil.
Jika ini tidak berhasil untuk distribusi pilihan Linux Anda, inilah solusi. Pertama, klik Pengaturan> Konfigurasikan Kleopatra. Pilih "Crypto Operations," pilih "File Operations," dan tetapkan Kleopatra untuk menggunakan program checksum "sha256sum", karena itulah yang dihasilkan oleh checksum khusus ini. Jika Anda memiliki MD5 checksum, pilih "md5sum" dalam daftar di sini.
Sekarang, klik File> Buat File Checksum dan pilih file ISO yang Anda unduh. Kleopatra akan menghasilkan checksum dari file iso yang diunduh dan menyimpannya ke file baru.
Anda dapat membuka kedua file ini - file checksum yang diunduh dan yang baru Anda buat-di editor teks seperti Notepad. Konfirmasikan bahwa checksum identik dengan mata Anda sendiri. Jika itu identik, Anda telah mengkonfirmasi file ISO yang Anda unduh belum dirusak.
Metode verifikasi ini awalnya tidak ditujukan untuk melindungi terhadap malware. Mereka dirancang untuk memastikan bahwa file ISO Anda diunduh dengan benar dan tidak rusak selama pengunduhan, sehingga Anda dapat membakar dan menggunakannya tanpa khawatir. Mereka bukan solusi yang benar-benar sangat mudah, karena Anda harus mempercayai kunci PGP yang Anda unduh. Namun, ini masih memberikan jaminan lebih dari sekedar menggunakan file ISO tanpa mengeceknya sama sekali.
Kredit Gambar: Eduardo Quagliato di Flickr
