Verificando las iso de Fedora

Muchos usuarios de Fedora se están descargando en estos días las últimas imágenes de su distribución favorita. La mayoría habrá optado por utilizar la descarga directa y algunos otros por utilizar el torrent oficial. Verificar la imagen antes y después de grabarla, ya sea en un CD o en un USB, es siempre muy recomendable independientemente del método de descarga que hayamos utilizado pero es casi obligado si lo hemos hecho mediante descarga directa.

Fedora pone a nuestra disposición todo lo necesario para poder verificar estas imágenes, de forma que tendremos la certeza de que han sido creadas por el proyecto, y que además no han sido modificadas, maliciosamente  o accidentalmente, durante el proceso de descarga. Esto será especialmente útil si las descargamos desde otro mirror en vez desde la web oficial.

En primer lugar, una vez ya tenemos la imagen que queremos descargada, tendremos que buscar el archivo CHECKSUM para esa imagen en concreto aquí y guardarlo en el mismo directorio que la imagen. Yo, por ejemplo, me descargaría el checksum del medio vivo con KDE para la arquitectura x86_64. Todos estos archivos están firmados con la clave privada del proyecto de forma que podemos verificar que efectivamente es oficial mediante la clave pública. Os recomiendo leer esta entrada de hace unos días para comprender mejor cómo funciona esto. Pero para ello, antes deberemos importar las claves públicas de Fedora. Esto lo hacemos con el siguiente comando (vale para cualquier distribución):

$ curl https://fedoraproject.org/static/fedora.gpg | gpg --import

Ahora comprobamos la firma con gpg (sustituid CHECKSUM por el nombre con el que hayáis guardado el archivo):

$ gpg --verify CHECKSUM

Deberíamos obtener algo tal que así:

Verificando

Por último, ahora que ya hemos verificado el archivo checksum, podemos verificar la integridad de la imagen iso. Para ello se hace uso de otra función criptográfica: SHA-256, una de las funciones que se engloba dentro de SHA-2. Las funciones hash devuelven una cadena de una longitud fija (en este caso de 256 bit) para cualquier dato, independientemente de su tamaño. Es decir, ya tengamos un archivo de texto con un simple “Hola” o un zip con el último kernel, el hash de ambos archivos será del mismo tamaño. Un mínimo cambio en la imagen provoca que el hash cambie radicalmente. Actualmente, SHA-2 es considerado un método seguro y se utiliza ampliamente frente al MD5, algoritmo ya en desuso.

Para ello podemos ejecutar en una terminal el comando sha256sum y comprobar manualmente el hash, o sencillamente con el siguiente comando:

$ sha256sum -c CHECKSUM

Verificando-2

¡Listo! Como veis, en unos pocos minutos hemos verificado las imágenes de Fedora. Y vosotros, ¿soléis chequear la integridad de las iso que os descargáis?

4 opiniones en “Verificando las iso de Fedora”

  1. 1. ¿ Como se descarga el archivo CHECKSUM ?
    > me manda a una pagina con un codigo sin opcion de descarga.
    > ¿el codigo lo copio en un bloc de notas? ¿eso es descargarlo?
    2. “importar las claves públicas de Fedora”
    > ingreso el “siguiente comando” y nada :
    $ curl https://fedoraproject.org/static/fedora.gpg | gpg –import
    bash: $: no se encontró la orden
    bash: gpg: no se encontró la orden
    * en lxTerminal

Deja un comentario