Guía para principiantes para verificar archivos ISO en Linux
Una guía sencilla para demostrar el proceso de verificación de archivos ISO en Ubuntu y otras distribuciones de Linux.
La descarga de archivos de imagen del sistema operativo o software de Internet a veces puede representar un riesgo para la seguridad porque los actores malintencionados pueden dañar o modificar archivos. Para garantizar la autenticidad e integridad de los archivos descargados, es necesario verificarlos. En esta guía para principiantes, lo guiaremos en la verificación de archivos ISO en Linux.
¿Qué son los archivos ISO?
Los archivos ISO se usan comúnmente para crear dispositivos de arranque, instalar software y crear copias de seguridad. Un archivo ISO contiene todos los datos originales de la aplicación/disco en un formato comprimido, lo que permite descargarlos y compartirlos fácilmente a través de Internet.
Por ejemplo, si descarga un escritorio, un servidor o cualquier otro sistema operativo Linux de Ubuntu, debe haber encontrado archivos con extensiones .iso. También se utiliza para aplicaciones u otros sistemas operativos como Windows.
¿Por qué verificar archivos ISO?
Verificar los archivos ISO es fundamental para garantizar que el archivo descargado sea auténtico y no haya sido modificado. Un archivo ISO modificado puede contener malware o virus que pueden dañar su sistema. La verificación de los archivos ISO garantiza que el archivo descargado sea el mismo que el creado por el desarrollador y que no haya sido manipulado.
Por ejemplo, hace unos años el servidor Linux Mint fue pirateado y se modificaron los archivos ISO oficiales. Dado que lo está descargando del sitio web oficial, podría pensar que los archivos son genuinos. Pero puede que no sea así.
Por lo tanto, es importante que siempre verifique los archivos ISO antes de usarlos para instalarlos en su computadora portátil/escritorio.
Métodos para verificar archivos ISO en Linux
Hay dos métodos comúnmente utilizados para verificar archivos ISO en Linux:
- Usando sumas de verificación SHA-256
- Usando la firma GPG
Usando sumas de verificación SHA-256
SHA-256 es una función hash criptográfica que genera un valor hash único para un archivo. Una suma de comprobación es el resultado de aplicar el algoritmo SHA-256 a un archivo. La suma de comprobación es una cadena única de caracteres que se puede utilizar para verificar la integridad de un archivo.
Para verificar un archivo ISO usando sumas de verificación SHA-256, descargue la suma de verificación SHA-256 del sitio web del desarrollador. El archivo de suma de comprobación SHA-256 contendrá el valor de suma de comprobación del archivo ISO. Debe generar el valor de la suma de verificación del archivo ISO descargado y compararlo con el valor de la suma de verificación en el archivo de suma de verificación SHA-256. Si los dos valores coinciden, el archivo ISO descargado es auténtico y no ha sido modificado.
Usando la firma GPG
GPG (GNU Privacy Guard) es un software criptográfico que se puede utilizar para firmar y verificar archivos. Una firma GPG es una firma digital que garantiza la autenticidad e integridad de un archivo. El desarrollador firma el archivo ISO con su clave privada y el usuario verifica la firma con la clave pública del desarrollador.
Para verificar un archivo ISO usando la firma GPG, debe descargar el archivo de firma GPG del sitio web del desarrollador. El archivo de firma GPG contendrá la clave pública del desarrollador y la firma del archivo ISO. Debe importar la clave pública del desarrollador, descargar el archivo ISO y el archivo de firma GPG y verificar la firma del archivo ISO utilizando la clave pública del desarrollador. Si la firma es válida, entonces el archivo ISO es auténtico y no ha sido modificado.
Cómo verificar archivos ISO en Linux: ejemplos
Echemos un vistazo a algunos ejemplos de los métodos anteriores para verificar archivos ISO utilizando sumas de verificación SHA-256 y firmas GPG en Linux.
Verificar archivos ISO usando sumas de verificación SHA-256
Ejemplo: archivos ISO para verificar y suma de comprobación
- Descargué el archivo ISO de Linux Mint 21.1 del sitio web oficial.
- Además, descargué el archivo de texto SHA-256 que contiene la suma de comprobación de los archivos ISO (ver imagen de arriba).
- Ahora, abra una terminal y vaya al directorio donde se encuentran los archivos de suma de comprobación ISO y SHA-256.
- Genere el valor de suma de comprobación SHA-256 del archivo ISO usando el comando
sha256sum
en la terminal. Por ejemplo, para generar el valor de la suma de comprobación del archivo ISO anterior llamadolinuxmint-21.1-cinnamon-64bit.iso
, ejecute el siguiente comando:
sha256sum linuxmint-21.1-cinnamon-64bit.iso
- Compare el valor de la suma de verificación generado con el valor de la suma de verificación en el archivo de suma de verificación SHA-256. Si los dos valores coinciden, entonces el archivo ISO es auténtico y no ha sido modificado.
- Aquí hay una comparación lado a lado para el archivo ISO anterior.
Verifique el archivo ISO usando el comando sha256sum
Y puede estar seguro de que el archivo es auténtico y no ha sido manipulado si la suma de comprobación coincide. Puede usar el mismo comando para cualquier otro archivo ISO y suma de verificación para verificación.
Ahora, veamos cómo puedes verificar usando la clave gpg.
Verificar archivos ISO usando la firma GPG
Para el ejemplo anterior, descargué el archivo .gpg junto con el archivo ISO del sitio web oficial.
El siguiente paso es descargar e importar la clave pública del desarrollador. Puede descargar la clave pública desde el sitio web del desarrollador o desde un servidor de claves.
Utilicé el siguiente comando para descargar la clave pública de Linux Mint para este ejemplo. Entonces, para su archivo ISO del archivo de distribución de Linux respectivo, busque en la página de descarga para encontrar la clave pública.
gpg --keyserver hkp://keyserver.ubuntu.com:80 --recv-key "27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09"
Nota: También puede descargar el archivo de clave pública .asc
(si está disponible) y utilizar el comando gpg --import development_key_file.asc
para importarlo en su sistema.
Una vez hecho esto, ejecute el siguiente comando gpg para verificar el archivo.
gpg --verify sha256sum.txt.gpg sha256sum.txt
Verificación del archivo ISO usando claves gpg
Si el archivo es genuino, debería ver el mensaje "Buena firma" como resultado del comando anterior. Además, puede hacer coincidir los últimos 8 bytes de la clave pública. La “Advertencia” es un mensaje genérico que puedes ignorar.
Conclusión
Verificar los archivos ISO es un paso esencial para garantizar la autenticidad e integridad de los archivos descargados. En esta guía para principiantes, cubrí los métodos y pasos para verificar archivos ISO usando sumas de verificación SHA-256 y firmas GPG en Linux. Si sigue estos pasos, podrá descargar y utilizar archivos ISO con confianza, sabiendo que no han sido modificados y que su uso es seguro.
Recuerde que incluso si lo descarga desde el sitio web oficial, nunca sabrá si el archivo ISO es auténtico hasta que lo verifique. Entonces, use esto como una mejor práctica.
Referencia