Page d'accueil » comment » Comment vérifier la somme de contrôle d'un ISO Linux et confirmer qu'elle n'a pas été falsifiée

    Comment vérifier la somme de contrôle d'un ISO Linux et confirmer qu'elle n'a pas été falsifiée

    Le mois dernier, le site Web de Linux Mint a été piraté et une image ISO modifiée a été mise au téléchargement, avec notamment une porte dérobée. Bien que le problème ait été résolu rapidement, il montre combien il est important de vérifier les fichiers ISO Linux que vous téléchargez avant de les exécuter et de les installer. Voici comment.

    Les distributions Linux publient des sommes de contrôle afin que vous puissiez confirmer que les fichiers que vous téléchargez correspondent à ce qu'elles prétendent être. Elles sont souvent signées afin que vous puissiez vérifier que les sommes de contrôle elles-mêmes n'ont pas été falsifiées. Ceci est particulièrement utile si vous téléchargez une image ISO depuis un site autre que le site principal, comme un miroir tiers, ou via BItTorrent, où il est beaucoup plus facile de manipuler des fichiers..

    Comment fonctionne ce processus

    Le processus de vérification d'une image ISO est un peu complexe, aussi, avant d'entrer dans les étapes exactes, expliquons en quoi consiste exactement ce processus:

    1. Vous allez télécharger le fichier ISO Linux à partir du site Web de la distribution Linux - ou ailleurs - comme d'habitude.
    2. Vous allez télécharger une somme de contrôle et sa signature numérique sur le site Web de la distribution Linux. Il peut s'agir de deux fichiers TXT distincts ou vous pouvez obtenir un seul fichier TXT contenant les deux éléments de données..
    3. Vous obtiendrez une clé publique PGP appartenant à la distribution Linux. Vous pouvez l'obtenir sur le site Web de la distribution Linux ou sur un serveur de clés séparé géré par les mêmes personnes, en fonction de votre distribution Linux..
    4. Vous utiliserez la clé PGP pour vérifier que la signature numérique de la somme de contrôle a été créée par la même personne que celle qui a créé la clé, en l'occurrence les responsables de la maintenance de cette distribution Linux. Cela confirme que la somme de contrôle elle-même n'a pas été altérée.
    5. Vous allez générer la somme de contrôle de votre fichier ISO téléchargé et vérifier qu'elle correspond au fichier TXT de somme de contrôle que vous avez téléchargé. Cela confirme que le fichier ISO n'a pas été altéré ou corrompu.

    Le processus peut différer un peu pour différentes ISO, mais il suit généralement ce schéma général. Par exemple, il existe plusieurs types de sommes de contrôle. Traditionnellement, les sommes MD5 ont été les plus populaires. Cependant, les sommes SHA-256 sont maintenant plus fréquemment utilisées par les distributions Linux modernes, car SHA-256 est plus résistant aux attaques théoriques. Nous discuterons principalement des sommes SHA-256 ici, bien qu'un processus similaire fonctionne pour les sommes MD5. Certaines distributions Linux peuvent également fournir des sommes SHA-1, bien que celles-ci soient encore moins courantes.

    De même, certaines distributions ne signent pas leur somme de contrôle avec PGP. Vous devrez seulement exécuter les étapes 1, 2 et 5, mais le processus est beaucoup plus vulnérable. Après tout, si l’attaquant peut remplacer le fichier ISO par le téléchargement, il peut également remplacer la somme de contrôle..

    L'utilisation de PGP est beaucoup plus sûre, mais pas infaillible. L’attaquant pourrait toujours remplacer cette clé publique par la leur, il pourrait encore vous amener à penser que l’ISO est légitime. Cependant, si la clé publique est hébergée sur un serveur différent, comme c'est le cas avec Linux Mint, cela deviendra beaucoup moins probable (puisqu'ils devront pirater deux serveurs au lieu d'un seul). Mais si la clé publique est stockée sur le même serveur que l'ISO et la somme de contrôle, comme c'est le cas avec certaines distributions, elle n'offre pas autant de sécurité..

    Néanmoins, si vous essayez de vérifier la signature PGP sur un fichier de somme de contrôle puis de valider votre téléchargement avec cette somme de contrôle, c’est tout ce que vous pouvez raisonnablement faire en tant qu’utilisateur final qui télécharge un ISO Linux. Vous êtes toujours beaucoup plus en sécurité que les personnes qui ne se dérangent pas.

    Comment vérifier une somme de contrôle sous Linux

    Nous utiliserons Linux Mint comme exemple ici, mais vous devrez peut-être effectuer une recherche sur le site Web de votre distribution Linux pour trouver les options de vérification proposées. Pour Linux Mint, deux fichiers sont fournis avec le téléchargement ISO sur ses miroirs de téléchargement. Téléchargez l'ISO, puis téléchargez les fichiers «sha256sum.txt» et «sha256sum.txt.gpg» sur votre ordinateur. Cliquez avec le bouton droit sur les fichiers et sélectionnez «Enregistrer le lien sous» pour les télécharger..

    Sur votre bureau Linux, ouvrez une fenêtre de terminal et téléchargez la clé PGP. Dans ce cas, la clé PGP de Linux Mint est hébergée sur le serveur de clés d'Ubuntu, et nous devons exécuter la commande suivante pour l'obtenir..

    gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

    Le site Web de votre distribution Linux vous indiquera la clé dont vous avez besoin.

    Nous avons maintenant tout ce dont nous avons besoin: l'ISO, le fichier de somme de contrôle, le fichier de signature numérique de la somme de contrôle et la clé PGP. Alors, passez au dossier dans lequel ils ont été téléchargés…

    cd ~ / Téléchargements

    … Et exécutez la commande suivante pour vérifier la signature du fichier de somme de contrôle:

    gpg --verify sha256sum.txt.gpg sha256sum.txt

    Si la commande GPG vous indique que le fichier sha256sum.txt téléchargé comporte une «bonne signature», vous pouvez continuer. Dans la quatrième ligne de la capture d'écran ci-dessous, GPG nous informe qu'il s'agit d'une «bonne signature» qui prétend être associée à Clement Lefebvre, le créateur de Linux Mint..

    Ne craignez pas que la clé ne soit pas certifiée avec une «signature approuvée». Cela est dû au fonctionnement du cryptage PGP: vous n'avez pas créé de réseau de confiance en important des clés de personnes de confiance. Cette erreur sera très commune.

    Enfin, maintenant que nous savons que la somme de contrôle a été créée par les responsables de Linux Mint, exécutez la commande suivante pour générer une somme de contrôle à partir du fichier .iso téléchargé et la comparer au fichier TXT de somme de contrôle que vous avez téléchargé:

    sha256sum --check sha256sum.txt

    Vous verrez beaucoup de messages «pas de fichier ou de répertoire» si vous n'avez téléchargé qu'un seul fichier ISO, mais vous devriez voir un message «OK» pour le fichier que vous avez téléchargé s'il correspond à la somme de contrôle..

    Vous pouvez également exécuter les commandes de somme de contrôle directement sur un fichier .iso. Il examinera le fichier .iso et crachera sa somme de contrôle. Vous pouvez alors simplement vérifier que cela correspond à la somme de contrôle valide en regardant les deux avec vos yeux.

    Par exemple, pour obtenir la somme SHA-256 d'un fichier ISO:

    sha256sum /path/to/file.iso

    Ou, si vous avez une valeur md5sum et devez obtenir le md5sum d'un fichier:

    md5sum /path/to/file.iso

    Comparez le résultat avec le fichier TXT de somme de contrôle pour voir s'ils correspondent.

    Comment vérifier une somme de contrôle sous Windows

    Si vous téléchargez une image ISO Linux à partir d'une machine Windows, vous pouvez également vérifier la somme de contrôle, bien que Windows ne dispose pas du logiciel nécessaire. Donc, vous devrez télécharger et installer l'outil open-source Gpg4win.

    Localisez le fichier de clé de signature et les fichiers de somme de contrôle de votre distribution Linux. Nous allons utiliser Fedora comme exemple ici. Le site Web de Fedora propose des téléchargements de sommes de contrôle et nous indique que nous pouvons télécharger la clé de signature Fedora à l'adresse https://getfedora.org/static/fedora.gpg..

    Après avoir téléchargé ces fichiers, vous devez installer la clé de signature à l'aide du programme Kleopatra fourni avec Gpg4win. Lancez Kleopatra, puis cliquez sur Fichier> Importer des certificats. Sélectionnez le fichier .gpg que vous avez téléchargé.

    Vous pouvez maintenant vérifier si le fichier de somme de contrôle téléchargé a été signé avec l'un des fichiers de clés que vous avez importé. Pour ce faire, cliquez sur Fichier> Déchiffrer / Vérifier les fichiers. Sélectionnez le fichier de somme de contrôle téléchargé. Décochez l'option «Le fichier d'entrée est une signature détachée», puis cliquez sur «Déchiffrer / Vérifier».

    Vous êtes sûr de voir un message d'erreur si vous le faites de cette manière, car vous n'avez pas eu la peine de confirmer que les certificats Fedora sont réellement légitimes. C'est une tâche plus difficile. C’est ainsi que PGP est conçu pour vous permettre de rencontrer et d’échanger des clés en personne, par exemple, et de créer un réseau de confiance. La plupart des gens ne l'utilisent pas de cette façon.

    Cependant, vous pouvez afficher plus de détails et vérifier que le fichier de somme de contrôle a été signé avec l'une des clés importées. C’est bien mieux que simplement faire confiance à un fichier ISO téléchargé sans vérifier, de toute façon.

    Vous devriez maintenant pouvoir sélectionner Fichier> Vérifier les fichiers de somme de contrôle et vérifier que les informations du fichier de somme de contrôle correspondent au fichier .iso téléchargé. Cependant, cela n'a pas fonctionné pour nous - c'est peut-être simplement la façon dont le fichier de somme de contrôle de Fedora est présenté. Lorsque nous avons essayé cela avec le fichier sha256sum.txt de Linux Mint, cela a fonctionné.

    Si cela ne fonctionne pas pour votre distribution Linux de choix, voici une solution de contournement. Tout d'abord, cliquez sur Paramètres> Configurer Kleopatra. Sélectionnez «Opérations cryptographiques», sélectionnez «Opérations sur les fichiers», et paramétrez Kleopatra pour qu'il utilise le programme de somme de contrôle «sha256sum», car c'est ce que cette somme de contrôle a été générée. Si vous avez une somme de contrôle MD5, sélectionnez «md5sum» dans la liste ici.

    Maintenant, cliquez sur Fichier> Créer des fichiers de somme de contrôle et sélectionnez le fichier ISO que vous avez téléchargé. Kleopatra va générer une somme de contrôle à partir du fichier .iso téléchargé et l'enregistrer dans un nouveau fichier..

    Vous pouvez ouvrir ces deux fichiers, le fichier de somme de contrôle téléchargé et celui que vous venez de générer, dans un éditeur de texte tel que le Bloc-notes. Confirmez que la somme de contrôle est identique dans les deux cas avec vos propres yeux. S'il est identique, vous avez confirmé que votre fichier ISO téléchargé n'a pas été falsifié..


    Ces méthodes de vérification n'étaient pas conçues à l'origine pour protéger contre les logiciels malveillants. Ils ont été conçus pour confirmer que votre fichier ISO a été correctement téléchargé et qu’il n’a pas été corrompu pendant le téléchargement. Vous pourrez ainsi le graver et l’utiliser sans vous inquiéter. Ce n'est pas une solution totalement infaillible, car vous devez faire confiance à la clé PGP que vous téléchargez. Cependant, cela fournit encore beaucoup plus d'assurance que d'utiliser simplement un fichier ISO sans le vérifier du tout.

    Crédit d'image: Eduardo Quagliato sur Flickr