Comprobar la integridad de una ISO (Ubuntu 20.04 Focal Fossa)

de

Veamos cómo comprobar que un archivo .iso que hemos descargado no ha sufrido manipulaciones por parte de terceros y que se ha descargado correctamente

A la hora de descargar una  distribución de GNU/Linux para instalarla en nuestro equipo, es importante comprobar que dicha ISO no ha sido manipulada por terceros y que en el proceso de descarga no ha sufrido ningún problema.

En este caso voy a comprobar que la recién salida ISO de Ubuntu Focal Fossa 20.04 está correcta, es la que los desarrolladores publicaron y no ha sufrido problemas durante la descarga.

Para realizar estas comprobaciones, necesitaremos tener instalado gpg en nuestro sistema operativo y descargar tanto el archivo ISO como el archivo con la suma de verificación y la firma de ese archivo todo disponible desde aquí.

¿Qué es cada cosa?

  • El archivo ISO es la propia imagen del sistema operativo que instalaremos y que debemos comprobar que es íntegra
  • El archivo SHA256SUM es un archivo en el que se incluyen la suma de verificación de dicha ISO
  • El archivo SHA256SUM.gpg es la firma de ese archivo por parte de los desarrolladores de Ubuntu que certifica que ese archivo de suma de verificación es legítimo.

Pasos a seguir

1.- Descargar el archivo .iso y las sumas de verificación junto con la firma de ese archivo de las sumas de verificación.

2.- Comprobar que el archivo de suma de verificación está firmado por quien dice que es y no está falsificado ejecutando el comando

gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS

2.1.- Si no tenemos la clave pública deberemos importarla. Copiamos la clave y la importamos por ejemplo desde el servidor de claves de Ubuntu

gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092

Deberá darnos un resultado de firma correcta:

Firma correcta de "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>"

3.- Comprobar que la ISO coincide con la suma de verificación

sha256sum -c SHA256SUMS

Deberá darnos un mensaje de que la suma de verificación coincide:

ubuntu-20.04-desktop-amd64.iso: La suma coincide

Es importante realizar estos pasos para comprobar que la ISO es legítima, que coincide con la suma de verificación y que este archivo está firmado y certificado contra modificaciones por los desarrolladores de Ubuntu.

Si tienes correcciones y sugerencias utiliza los comentarios del blog para complementar la información.

Aquí te dejo un vídeo con el proceso. El vídeo está alojado en archive.org en formato webm

También está disponible en YouTube para quien prefiera esta plataforma

https://www.youtube.com/watch?v=dIhuqGDhG9w

Me gustaría saber tu opinión. Deja un comentario (Puedes usar MarkDown)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .