Marcelo Martins

Marcelo Martins

Cybersecurity specialist. Hacking, teaching, breaking stuff.

Verificando assinaturas digitais: Debian Linux

1 minuto(s) de leitura

Atualizado em:

A cópia do sistema operacional também precisa ser validada antes que o sistema seja instalado diretamente no host ou na máquina virtual. Como na maioria dos exemplos do Stakey Club um Debian Linux é usado, este artigo vai mostrar como verificar a imagem do Debian antes de proceder com a instalação. Para saber mais sobre o processo leia o artigo Verificação de assinaturas digitais.

Veja aqui o Debian Verifier, um script em shell ou Python que automatiza o processo de verificação de assinatura digital.

Para baixar e verificar a assinatura digital e os hashes da versão mais recente do Debian Linux:

a) Acesse https://cdimage.debian.org/debian-cd/current/$ARCH/iso-dvd/. Se preferir uma imagem menor, apenas com o core do Debian, pode acessar https://cdimage.debian.org/cdimage/release/current/multi-arch/iso-cd/. Os pacotes que não estiverem na imagem ‘netinst’ e forem selecionados na instalação serão copiados da Internet na hora.

$ARCH pode ser, entre outras opções, ‘amd64’ ou ‘i386’.

b) Baixe para a mesma pasta os arquivos debian-$VERSION-$ARCH-DVD-1.iso (a imagem do primeiro DVD é suficiente para a instalação), SHA256SUMS e SHA256SUMS.sign. Se optar pela imagem menor, chamada ‘netinst’, é só substituir a imagem pelo arquivo debian-$VERSION-amd64-i386-netinst.iso e baixar os arquivos SHA256SUMS e SHA256SUMS.sign da mesma pasta.

c) Verifique a assinatura digital:

$ gpg --verify SHA256SUMS.sign

O retorno do gpg informa que a importação da chave pública dos desenvolvedores do Debian foi automática:

gpg: key DA87E80D6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported

Se por algum motivo a chave não foi automaticamente importada será necessário importar manualmente as chaves relacionadas na página https://www.debian.org/CD/verify e tentar o comando acima novamente.

$ gpg --keyserver keyring.debian.org --recv-keys 0x64E6EA7D 0x6294BE9B 0x09EA8AC3

d) Procure no retorno do gpg por:

gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>

e) Para gerar o hash da imagem do Debian e comparar com o hash dentro do manifest SHA256SUMS:

No Linux:

$ grep `sha256sum debian-$VERSION-$ARCH-DVD-1.iso` SHA256SUMS
ou
$ grep `sha256sum debian-$VERSION-amd64-i386-netinst.iso` SHA256SUMS

No Mac:

$ grep `shasum -a 256 debian-$VERSION-$ARCH-DVD-1.iso` SHA256SUMS
ou
$ grep `shasum -a 256 debian-$VERSION-amd64-i386-netinst.iso` SHA256SUMS

Se o comando acima não retornar nenhum resultado, o hash não foi encontrado no manifest SHA256SUMS e provavelmente o arquivo foi modificado depois da sua criação.