如何在 Ubuntu 上使用 SHA256 哈希或 GPG 密鑰對下載進行身份驗證


在許多情況下,您可以下載各種 Linux 發行版 ISO 等開源軟件。在下載過程中,您可能還會注意到一個下載校驗和文件的鏈接。鏈接是乾什麼用的?事實上,Linux 發行版分發校驗和文件和源 ISO 文件以驗證下載文件的完整性。您可以使用文件校驗和來驗證下載的文件是真實的並且沒有被篡改。如果您想從原始站點以外的位置(例如可能篡改文件的第三方站點)下載文件,這將特別有用。強烈建議在從第三方下載文件時檢查校驗和。

本文介紹了一些步驟來幫助您在 Ubuntu 操作系統上驗證您的下載。本文介紹了使用 Ubuntu 18.04 LTS 的過程。也下載了 ubuntu-18.04.2-desktop-amd64.iso 在本文的驗證過程中使用。

有兩種方法可以檢查下載文件的完整性。第一種方法是通過 SHA256 散列。這是一種快速但不安全的方法。 第二種是使用 gpg 密鑰,這是一種更安全的檢查文件完整性的方法。

使用 SHA256 哈希驗證下載

第一種方法使用哈希來確認下載。哈希是一種驗證過程,可確保下載到系統的文件與原始源文件相同,並且未被第三方修改。此方法的步驟如下:

第 1 步:下載 SHA256SUMS 文件

您需要在 Ubuntu 官方鏡像中找到 SHA256SUMS 文件。鏡像頁麵包含一些附加文件以及 Ubuntu 映像。我正在使用以下鏡像下載 SHA256SUMS 文件。

https://releases.ubuntu.com/18.04/

找到文件後,單擊以將其打開。 包含 Ubuntu 提供的原始文件的校驗和。

第 2 步:為下載的 ISO 文件生成 SHA256 校驗和

然後按 打開終端 Ctrl + Alt + T 組合鍵。然後切換到您放置下載文件的目錄。

$光盤 [path-to-file]

然後在終端中運行以下命令,為下載的 ISO 文件生成 SHA256 校驗和。

獲取文件的 sha256 總數

第 3 步:比較兩個文件的校驗和。

將系統生成的校驗和與 Ubuntu 官方鏡像站點提供的校驗和進行比較。如果校驗和匹配,則您正在下載實際文件。如果它們不匹配,則文件已損壞。

請檢查下載唱 gpg 鍵

這種方法比以前的方法更安全。讓我們看看它是如何工作的。此方法的步驟如下:

第 1 步:下載 SHA256SUMS 和 SHA256SUMS.gpg

您需要在 Ubuntu 鏡像中找到 SHA256SUMS 和 SHA256SUMS.gpg 文件。找到這些文件後,打開它們。右鍵點擊[ページとして保存]使用該選項保存。將兩個文件保存在同一目錄中。

使用 GPG 檢查 Ubuntu 下載

第 2 步:找到用於發布簽名的密鑰

啟動終端並切換到放置校驗和文件的目錄。

$光盤 [path-to-file]

然後運行以下命令查看用於生成簽名的密鑰:

$ gpg –verify SHA256SUMS.gpg SHA256SUMS

您還可以使用此命令來驗證簽名。但是,由於此時沒有公鑰,所以返回下圖所示的錯誤信息。

使用 gpg 進行身份驗證

查看上面的輸出,您可以看到密鑰 ID 是 46181433FBB75451 和 D94AA3F0EFE21092。您可以使用這些 ID 從您的 Ubuntu 服務器請求它們。

第 3 步:獲取 Ubuntu 服務器公鑰

使用上述密鑰 ID 從 Ubuntu 服務器請求公鑰。這可以通過在終端中運行以下命令來完成:此命令的一般語法是:

$ gpg –keyserver <keyserver-name –recv-keys <publicKey>

獲取 Ubuntu 服務器的公鑰

您現在已從 Ubuntu 服務器收到密鑰。

第 4 步:檢查密鑰打印

接下來,您需要檢查密鑰打印。為此,請在終端中運行以下命令:

$ gpg --list-keys --with-fingerprint <0x-----> <0x------>

認證密鑰指紋

第五步:確認簽名

您現在可以運行該命令來驗證簽名。這與之前用於查找用於發布簽名的密鑰的命令相同。

$ gpg --verify SHA256SUMS.gpg SHA256SUMS

GPG 使用 SHA256 進行驗證

現在你可以看到上面的輸出了。它顯示 好簽名 確認 ISO 文件完整性的消息。如果它們不匹配,您將看到如下內容: 簽名錯誤..

您還會注意到警告標誌,因為它沒有會簽密鑰並且不在受信任的來源列表中。

最後一步

接下來,您需要為下載的 ISO 文件生成一個 sha256 校驗和。然後將其與從 Ubuntu 鏡像下載的 SHA256SUM 文件進行匹配。確保下載的文件 SHA256SUMS 和 SHA256SUMS.gpg 在同一目錄中。

在終端中運行以下命令:

$ sha256sum -c SHA256SUMS 2>&1 | grep OK

您將獲得以下輸出。如果輸出不同,則表示下載的 ISO 文件已損壞。

這就是在 Ubuntu 上確認下載所需的全部信息。您可以使用上面的驗證方法來驗證您下載的是不是在下載過程中被損壞或篡改的正版ISO文件。



Source link