Startseite » wie man » So überprüfen Sie die Prüfsumme einer Linux-ISO und bestätigen, dass sie nicht manipuliert wurde

    So überprüfen Sie die Prüfsumme einer Linux-ISO und bestätigen, dass sie nicht manipuliert wurde

    Im letzten Monat wurde die Website von Linux Mint gehackt, und ein modifiziertes ISO wurde zum Download bereitgestellt, das auch eine Hintertür enthielt. Während das Problem schnell behoben wurde, zeigt es, wie wichtig es ist, heruntergeladene Linux-ISO-Dateien zu prüfen, bevor sie ausgeführt und installiert werden. Hier ist wie.

    Linux-Distributionen veröffentlichen Prüfsummen, mit denen Sie bestätigen können, dass die von Ihnen heruntergeladenen Dateien den Angaben entsprechen, die sie behaupten. Diese sind häufig signiert, sodass Sie überprüfen können, ob die Prüfsummen selbst nicht manipuliert wurden. Dies ist besonders nützlich, wenn Sie ein ISO von einem anderen Ort als der Hauptsite herunterladen, z. B. einem Spiegel eines Drittanbieters, oder über BItTorrent, wo es für Personen viel einfacher ist, Dateien zu manipulieren.

    Wie dieser Prozess funktioniert

    Die Überprüfung einer ISO ist ein bisschen komplex. Bevor wir uns also genau befassen, erläutern wir genau, was der Prozess beinhaltet:

    1. Sie laden die Linux-ISO-Datei wie üblich von der Website der Linux-Distribution oder anderswo herunter.
    2. Sie können eine Prüfsumme und ihre digitale Signatur von der Website der Linux-Distribution herunterladen. Dies können zwei separate TXT-Dateien sein, oder Sie erhalten eine einzelne TXT-Datei, die beide Daten enthält.
    3. Sie erhalten einen öffentlichen PGP-Schlüssel, der zur Linux-Distribution gehört. Sie erhalten dies möglicherweise von der Website der Linux-Distribution oder von einem separaten Schlüsselserver, der von denselben Personen verwaltet wird, abhängig von Ihrer Linux-Distribution.
    4. Sie verwenden den PGP-Schlüssel, um zu überprüfen, ob die digitale Signatur der Prüfsumme von derselben Person erstellt wurde, die den Schlüssel erstellt hat (in diesem Fall die Betreuer dieser Linux-Distribution). Dies bestätigt, dass die Prüfsumme selbst nicht manipuliert wurde.
    5. Sie generieren die Prüfsumme Ihrer heruntergeladenen ISO-Datei und prüfen, ob sie mit der heruntergeladenen TXT-Datei der Prüfsumme übereinstimmt. Dies bestätigt, dass die ISO-Datei nicht manipuliert oder beschädigt wurde.

    Der Prozess kann für verschiedene ISOs etwas abweichen, er folgt jedoch normalerweise diesem allgemeinen Muster. Beispielsweise gibt es verschiedene Arten von Prüfsummen. Traditionell waren MD5-Summen die beliebtesten. SHA-256-Summen werden heutzutage jedoch häufiger von modernen Linux-Distributionen verwendet, da SHA-256 gegenüber theoretischen Angriffen resistenter ist. Wir werden hier hauptsächlich die SHA-256-Summen besprechen, obwohl ein ähnlicher Prozess für MD5-Summen funktionieren wird. Einige Linux-Distributionen können auch SHA-1-Summen bereitstellen, obwohl diese noch seltener sind.

    In ähnlicher Weise unterschreiben einige Distros ihre Prüfsummen nicht mit PGP. Sie müssen nur die Schritte 1, 2 und 5 ausführen, der Prozess ist jedoch viel anfälliger. Wenn der Angreifer die ISO-Datei für den Download ersetzen kann, kann er auch die Prüfsumme ersetzen.

    Die Verwendung von PGP ist viel sicherer, aber nicht narrensicher. Der Angreifer könnte diesen öffentlichen Schlüssel immer noch durch seinen eigenen ersetzen, er könnte Sie jedoch dazu verleiten, die ISO als legitim zu betrachten. Wenn der öffentliche Schlüssel jedoch - wie bei Linux Mint - auf einem anderen Server gehostet wird, ist dies unwahrscheinlicher (da er zwei statt nur einen Server hacken müsste). Wenn jedoch der öffentliche Schlüssel auf demselben Server wie ISO und Prüfsumme gespeichert ist, wie dies bei einigen Distributionen der Fall ist, bietet er nicht so viel Sicherheit.

    Wenn Sie jedoch versuchen, die PGP-Signatur in einer Prüfsummendatei zu überprüfen und dann den Download mit dieser Prüfsumme zu überprüfen, können Sie dies als Endbenutzer beim Herunterladen eines Linux-ISO sinnvoll tun. Du bist immer noch viel sicherer als die Leute, die sich nicht darum kümmern.

    So überprüfen Sie eine Prüfsumme unter Linux

    Wir werden hier Linux Mint als Beispiel verwenden, aber Sie müssen möglicherweise die Website Ihrer Linux-Distribution durchsuchen, um die verfügbaren Verifizierungsoptionen zu finden. Bei Linux Mint werden zwei Dateien zusammen mit dem ISO-Download auf den Download-Mirrors bereitgestellt. Laden Sie die ISO-Datei herunter und laden Sie dann die Dateien "sha256sum.txt" und "sha256sum.txt.gpg" auf Ihren Computer herunter. Klicken Sie mit der rechten Maustaste auf die Dateien und wählen Sie "Link speichern unter", um sie herunterzuladen.

    Öffnen Sie auf Ihrem Linux-Desktop ein Terminalfenster und laden Sie den PGP-Schlüssel herunter. In diesem Fall wird der PGP-Schlüssel von Linux Mint auf dem Ubuntu-Schlüsselserver gehostet, und wir müssen den folgenden Befehl ausführen, um ihn zu erhalten.

    gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

    Die Website Ihrer Linux-Distribution zeigt Ihnen den Schlüssel, den Sie benötigen.

    Wir haben jetzt alles, was wir brauchen: die ISO-Datei, die Prüfsummendatei, die digitale Signaturdatei der Prüfsumme und den PGP-Schlüssel. Als nächstes wechseln Sie in den Ordner, in den sie heruntergeladen wurden…

    CD ~ / Downloads

    … Und führen Sie den folgenden Befehl aus, um die Signatur der Prüfsummendatei zu überprüfen:

    gpg --verify sha256sum.txt.gpg sha256sum.txt

    Wenn der Befehl GPG Ihnen mitteilt, dass die heruntergeladene Datei sha256sum.txt eine "gute Signatur" hat, können Sie fortfahren. In der vierten Zeile des Screenshots unten informiert uns GPG, dass dies eine "gute Signatur" ist, die behauptet, mit Clement Lefebvre, dem Schöpfer von Linux Mint, in Verbindung zu stehen.

    Machen Sie sich keine Sorgen, dass der Schlüssel nicht mit einer "vertrauenswürdigen Signatur" zertifiziert ist. Dies ist auf die Funktionsweise der PGP-Verschlüsselung zurückzuführen. Sie haben kein Vertrauensnetzwerk eingerichtet, indem Sie Schlüssel von vertrauenswürdigen Personen importieren. Dieser Fehler wird sehr häufig auftreten.

    Nachdem Sie nun wissen, dass die Prüfsumme von den Linux Mint-Betreuern erstellt wurde, führen Sie den folgenden Befehl aus, um eine Prüfsumme aus der heruntergeladenen .iso-Datei zu generieren und mit der heruntergeladenen Prüfsummen-TXT-Datei zu vergleichen:

    sha256sum --check sha256sum.txt

    Wenn Sie nur eine einzige ISO-Datei heruntergeladen haben, werden viele Meldungen angezeigt, dass keine solche Datei oder ein solches Verzeichnis vorhanden ist. Sie sollten jedoch eine OK-Meldung für die heruntergeladene Datei anzeigen, wenn sie mit der Prüfsumme übereinstimmt.

    Sie können die Prüfsummenbefehle auch direkt in einer .iso-Datei ausführen. Es prüft die .iso-Datei und spuckt die Prüfsumme aus. Sie können dann einfach prüfen, ob die Prüfsumme mit der gültigen Prüfsumme übereinstimmt, indem Sie beide mit Ihren Augen betrachten.

    So erhalten Sie beispielsweise die SHA-256-Summe einer ISO-Datei:

    sha256sum /path/to/file.iso

    Oder wenn Sie einen md5sum-Wert haben und die md5sum einer Datei abrufen müssen:

    md5sum /path/to/file.iso

    Vergleichen Sie das Ergebnis mit der Prüfsummen-TXT-Datei, um zu sehen, ob sie übereinstimmen.

    So überprüfen Sie eine Checksum unter Windows

    Wenn Sie eine Linux-ISO von einem Windows-Computer herunterladen, können Sie auch die Prüfsumme dort überprüfen. Windows verfügt jedoch nicht über die erforderliche Software. Daher müssen Sie das Open-Source-Tool Gpg4win herunterladen und installieren.

    Suchen Sie die Signaturschlüssel- und Prüfsummen-Dateien Ihrer Linux-Distribution. Wir werden Fedora hier als Beispiel verwenden. Die Fedora-Website bietet Prüfsummen-Downloads und teilt uns mit, dass wir den Fedora-Signaturschlüssel von https://getfedora.org/static/fedora.gpg herunterladen können.

    Nachdem Sie diese Dateien heruntergeladen haben, müssen Sie den Signaturschlüssel mit dem Programm Kleopatra installieren, das in Gpg4win enthalten ist. Starten Sie Kleopatra und klicken Sie auf Datei> Zertifikate importieren. Wählen Sie die .gpg-Datei aus, die Sie heruntergeladen haben.

    Sie können jetzt überprüfen, ob die heruntergeladene Prüfsummendatei mit einer der importierten Schlüsseldateien signiert wurde. Klicken Sie dazu auf Datei> Dateien entschlüsseln / überprüfen. Wählen Sie die heruntergeladene Checksumendatei aus. Deaktivieren Sie die Option "Eingabedatei ist eine getrennte Signatur" und klicken Sie auf "Entschlüsseln / Überprüfen".

    Wenn Sie dies auf diese Weise tun, werden Sie sicher eine Fehlermeldung erhalten, da Sie sich nicht die Mühe gemacht haben, zu bestätigen, dass diese Fedora-Zertifikate tatsächlich legitim sind. Das ist eine schwierigere Aufgabe. Auf diese Weise ist PGP so konzipiert, dass Sie arbeiten, sich treffen und beispielsweise Schlüssel persönlich austauschen und ein Netz des Vertrauens bilden. Die meisten Leute benutzen es nicht auf diese Weise.

    Sie können jedoch weitere Details anzeigen und bestätigen, dass die Prüfsummendatei mit einem der importierten Schlüssel signiert wurde. Dies ist viel besser, als einer heruntergeladenen ISO-Datei ohnehin nur zu vertrauen.

    Sie sollten nun in der Lage sein, Datei> Prüfsummendateien überprüfen auszuwählen und zu bestätigen, dass die Informationen in der Prüfsummendatei mit der heruntergeladenen .iso-Datei übereinstimmen. Bei uns funktionierte das jedoch nicht - vielleicht ist es nur so, wie Fedoras Checksummendatei angelegt ist. Als wir dies mit der Datei sha256sum.txt von Linux Mint ausprobierten, funktionierte es.

    Wenn dies für Ihre Linux-Distribution Ihrer Wahl nicht funktioniert, finden Sie hier eine Problemumgehung. Klicken Sie zuerst auf Einstellungen> Kleopatra konfigurieren. Wählen Sie "Crypto Operations", wählen Sie "File Operations", und legen Sie fest, dass Kleopatra das Prüfsummenprogramm "sha256sum" verwendet, da damit die jeweilige Prüfsumme generiert wurde. Wenn Sie eine MD5-Prüfsumme haben, wählen Sie in der Liste hier "md5sum" aus.

    Klicken Sie nun auf Datei> Checksumendateien erstellen und wählen Sie Ihre heruntergeladene ISO-Datei aus. Kleopatra generiert aus der heruntergeladenen .iso-Datei eine Prüfsumme und speichert sie in einer neuen Datei.

    Sie können diese beiden Dateien - die heruntergeladene Prüfsummendatei und die gerade erzeugte - in einem Texteditor wie Notepad öffnen. Stellen Sie sicher, dass die Prüfsumme in beiden Augen mit Ihren eigenen Augen identisch ist. Wenn es identisch ist, haben Sie bestätigt, dass Ihre heruntergeladene ISO-Datei nicht manipuliert wurde.


    Diese Überprüfungsmethoden waren ursprünglich nicht zum Schutz vor Malware gedacht. Sie sollten sicherstellen, dass Ihre ISO-Datei ordnungsgemäß heruntergeladen wurde und während des Herunterladens nicht beschädigt wurde, sodass Sie sie brennen und problemlos verwenden können. Sie sind keine absolut narrensichere Lösung, da Sie dem heruntergeladenen PGP-Schlüssel vertrauen müssen. Dies bietet jedoch noch viel mehr Sicherheit, als nur eine ISO-Datei zu verwenden, ohne sie überhaupt zu überprüfen.

    Bildnachweis: Eduardo Quagliato auf Flickr