Veamos cómo comprobar que un archivo .iso que hemos descargado no ha sufrido manipulaciones por parte de terceros y que se ha descargado correctamente
A la hora de descargar una distribución de GNU/Linux para instalarla en nuestro equipo, es importante comprobar que dicha ISO no ha sido manipulada por terceros y que en el proceso de descarga no ha sufrido ningún problema.
En este caso voy a comprobar que la recién salida ISO de Ubuntu Focal Fossa 20.04 está correcta, es la que los desarrolladores publicaron y no ha sufrido problemas durante la descarga.
Para realizar estas comprobaciones, necesitaremos tener instalado gpg en nuestro sistema operativo y descargar tanto el archivo ISO como el archivo con la suma de verificación y la firma de ese archivo todo disponible desde aquí.
¿Qué es cada cosa?
- El archivo ISO es la propia imagen del sistema operativo que instalaremos y que debemos comprobar que es íntegra
- El archivo SHA256SUM es un archivo en el que se incluyen la suma de verificación de dicha ISO
- El archivo SHA256SUM.gpg es la firma de ese archivo por parte de los desarrolladores de Ubuntu que certifica que ese archivo de suma de verificación es legítimo.
Pasos a seguir
1.- Descargar el archivo .iso y las sumas de verificación junto con la firma de ese archivo de las sumas de verificación.
2.- Comprobar que el archivo de suma de verificación está firmado por quien dice que es y no está falsificado ejecutando el comando
gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
2.1.- Si no tenemos la clave pública deberemos importarla. Copiamos la clave y la importamos por ejemplo desde el servidor de claves de Ubuntu
gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092
Deberá darnos un resultado de firma correcta:
Firma correcta de "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>"
3.- Comprobar que la ISO coincide con la suma de verificación
sha256sum -c SHA256SUMS
Deberá darnos un mensaje de que la suma de verificación coincide:
ubuntu-20.04-desktop-amd64.iso: La suma coincide
Es importante realizar estos pasos para comprobar que la ISO es legítima, que coincide con la suma de verificación y que este archivo está firmado y certificado contra modificaciones por los desarrolladores de Ubuntu.
Si tienes correcciones y sugerencias utiliza los comentarios del blog para complementar la información.
Aquí te dejo un vídeo con el proceso. El vídeo está alojado en archive.org en formato webm
También está disponible en YouTube para quien prefiera esta plataforma
https://www.youtube.com/watch?v=dIhuqGDhG9w