Como verificar la autenticidad de las imágenes ISO.

3 envíos / 0 nuevos
Último envío
#1 Mié, 02/08/2017 - 23:27
Berbellon
Imagen de Berbellon
Desconectado/a
colaborador
se unió: 04/05/16

Como verificar la autenticidad de las imágenes ISO.

Estado: 
[SOLUCIONADO]

Como verificar la autenticidad de las imágenes ISO.

Seguro recuerdan las ISO modificadas de Linux Mint con backdoor incluido.
Nota: Se toma la contribución de archlinux32.org.

(1) Descargar,

archlinux-2017.08.01-i686.iso       01-Aug-2017 05:41           523239424
archlinux-2017.08.01-i686.iso.sig   01-Aug-2017 05:35                 566
sha512sums                          01-Aug-2017 05:47                1280

Crear un archivo Arch32, agregar el enlace de *.iso, *.iso.sig, checksum (con vim, modo visual y la tecla "p")

$ wget -i Arch32
(man wget)

(2) Verificamos la imagen de CD.

$ sha512sum archlinux-2017.08.01-i686.iso > my_hash
$ diff -q my_hash sha512sums 

Observar si modificamos my_hash,

$ diff -q my_hash sha512sums 
Los ficheros my_hash y sha512sums son distintos

Otra forma,

$ sha512sum -c sha512sums 2> /dev/null | grep archlinux-2017.08.01-i686.iso
archlinux-2017.08.01-i686.iso: La suma coincide

(3) Verificamos la key (pgp).

Obtener la key PGP pública. Puede obtenerla desde el sitio web de la distribución Linux que se use.

Archlinux32.org, PGP Key: 248BF41F9BDD61D41D060AE774EDA3C6B06D0506, key alojada en pgp.mit.edu.

$ gpg --keyserver hkp://pgp.mit.edu --recv-keys 248BF41F9BDD61D41D060AE774EDA3C6B06D0506 
gpg: solicitando clave B06D0506 de hkp servidor pgp.mit.edu
gpg: clave B06D0506: clave pública "Tyler Dence (Build Key) <tyzoid@archlinux32.org>" importada
gpg: no se encontraron claves absolutamente fiables
gpg: Cantidad total procesada: 1
gpg:               importadas: 1  (RSA: 1)

Finalmente comprobamos que la imagen ISO haya sido verificada por la key de algún desarrollador del proyecto.

$ gpg --verify archlinux-2017.08.01-i686.iso.sig      
gpg: asumiendo que hay datos firmados en `archlinux-2017.08.01-i686.iso'
gpg: Firmado el mar 01 ago 2017 00:29:52 CDT usando clave RSA ID B06D0506
gpg: Firma correcta de "Tyler Dence (Build Key) <tyzoid@archlinux32.org>"
gpg: ATENCIÓN: ¡Esta clave no está certificada por una firma de confianza!
gpg:           No hay indicios de que la firma pertenezca al propietario.
Huellas digitales de la clave primaria: 248B F41F 9BDD 61D4 1D06  0AE7 74ED A3C6 B06D 0506

Debian,

keyring.debian.org only deals with keys for Debian project Member.

https://keyring.debian.org/
https://www.debian.org/CD/verify

 

Jue, 03/08/2017 - 13:09
caliban
Imagen de caliban
Desconectado/a
moderador
se unió: 14/01/16
Jue, 03/08/2017 - 21:14
Berbellon
Imagen de Berbellon
Desconectado/a
colaborador
se unió: 04/05/16

Desde Windows:

Verificamos el hash con, http://www.krylack.com/file-checksum-tool/ {100% Freeware. Free for personal and commercial use, alguna sugerencia si molesta el "copyright".}
Verificamos la firma con, https://www.gpg4win.org/download.html {Gpg4win is Free Software}

Saludos comunidades.