Cómo verificar la autenticidad del software Linux con firmas digitales

Cuando descarga software de Internet, debe confiar en los desarrolladores de que su programa no es malicioso. Sin embargo, también debes preocuparte por los piratas informáticos. Un atacante puede ganar mucho pirateando un sitio web y reemplazando el software con una versión con puerta trasera.

Piense en un sitio que aloja una utilidad de billetera Bitcoin. Si un atacante logra reemplazar la versión legítima por una maliciosa, potencialmente puede robar dinero a decenas de miles de usuarios. Otro objetivo valioso para la puerta trasera es un sistema operativo. Esto le sucedió a Linux Mint en el pasado.

¿Entonces, qué puede hacer usted al respecto?

Hashes y firmas

Los desarrolladores que se preocupan por la seguridad a menudo agrupan sus archivos de configuración o archivos con sumas de comprobación que usted puede verificar. Puede leer cómo verificarlos en Windows o Linux. Sin embargo, el problema con estos hash es que si un pirata informático reemplaza archivos en un sitio web, también puede reemplazar fácilmente los hash. Esto hace que los hash por sí mismos sean casi inútiles, especialmente si están alojados en el mismo servidor donde residen los programas.

Para que estas sumas de comprobación sean útiles, los desarrolladores también pueden firmarlos digitalmente, con la ayuda de un par de claves pública y privada. Solo la persona que posee esta clave privada puede crear firmas. Estos se pueden verificar solo con la clave pública correspondiente, que se encuentra publicada en Internet. Si pasa la verificación, puede estar (casi siempre) seguro de que el propietario de la clave privada firmó su software.

Para que un hacker eluda este mecanismo de seguridad, tiene que robar la clave privada de alguna manera, lo cual es mucho más difícil de hacer si el propietario toma las medidas adecuadas para mantenerla en secreto. E incluso cuando se roba la llave, el propietario puede invalidarla revocándola y anunciándola. Si esto sucede, cuando descargue su clave pública e intente usarla para verificar una firma, se le notificará que esta ha sido revocada.

Cómo verificar firmas usando GnuPG (GPG)

La utilidad gpg generalmente se instala de forma predeterminada en todas las distribuciones. Si, por alguna razón, falta, puede instalarlo con los siguientes comandos. En algunas distribuciones, si aparece un error como “gpg: no se pudo iniciar el dirmngr ‘/ usr / bin / dirmngr’: no ​​existe tal archivo o directorio,“Tienes que instalar dirmngr también.

En Debian, Ubuntu o distribuciones basadas en Debian, ejecute:

Para RedHat / CentOS:

y en Fedora:

Puede seguir el ejemplo a continuación para probar cómo verificaría un ISO del instalador de Debian 9.8.0.

Descargue “SHA256SUMS”, “SHA256SUMS.sign” y “debian-9.8.0-amd64-netinst.iso”. Puede que tenga que hacer clic con el botón derecho en los dos primeros archivos y seleccionar “Guardar enlace como” o el equivalente en su navegador web. De lo contrario, hacer clic en ellos puede mostrar su contenido en lugar de descargarlo automáticamente.

Abra un emulador de terminal y cambie al directorio donde se encuentran sus descargas.

Verificación de sumas de comprobación

Espere a que finalice la descarga de ISO. A continuación, verifique las sumas de comprobación SHA256.

Gpg Verificar firmas Sha256sum

Verá el nombre del archivo seguido de un mensaje “OK” cuando la suma de comprobación sea correcta. Para verificar otros tipos de sumas de verificación, tiene los siguientes comandos: sha1sum, sha512sum, md5sum. Pero se recomienda que use al menos una suma SHA256, o más, si está disponible.

Algunos sitios no ofrecen archivos como SHA256SUMS, donde los nombres de archivo y las sumas de verificación se agrupan para facilitar la verificación. Si solo muestran la suma en su sitio, verifique el hash del archivo con un comando como:

Uso de GPG para verificar sumas de comprobación firmadas

En este ejemplo, el equipo de Debian firmó el archivo “SHA256SUMS” con su clave privada y lo guardó en el archivo “SHA256SUMS.sign”. Verifique la firma con:

Recibirá este mensaje:

Esto significa que no tiene la clave pública en su computadora, lo cual es normal. Tienes que importarlo desde un servidor de claves.

Si un servidor de claves está inactivo, puede utilizar uno alternativo. Por ejemplo, podría reemplazar keyring.debian.org con keyserver.ubuntu.com.

Pero, ¿cómo sabe que esta clave es legítima? Desafortunadamente, para estar absolutamente seguro, necesitaría construir algo llamado red de confianza. Obviamente, no lo tiene en este momento. Pero hay un par de cosas que puedes hacer.

Google la huella digital de la llave (DF9B9C49EAA9298432589D76DA87E80D6294BE9B). Si no encuentra nada, intente buscar en Google solo los últimos ocho caracteres (6294BE9B). En muchos sitios web se mencionará una clave legítima con respecto a software similar. Además, las publicaciones generalmente se extenderán a lo largo de los años, ya que una clave protegida de forma segura se usará durante mucho tiempo.

Si está realmente paranoico, descargue un Imagen de BitTorrent y luego verifique la suma de comprobación y las firmas. La forma en que funcionan los torrents, es imposible reemplazar los archivos cargados por cientos de usuarios diferentes. Además, BitTorrent también tiene mecanismos propios para verificar la integridad de cada fragmento de datos que descarga.

Ahora que tiene la clave pública, finalmente puede verificar la firma:

Gpg Verificar firmas Verificar archivo de firma

Si ve “Buena firma”, significa que todo está bien. No se preocupe por la advertencia, es normal porque, como se mencionó, no tiene una red de confianza establecida para la clave pública.

Conclusión

Como ya sabrá, nada es seguro en Internet. Pero ciertamente es más seguro tomar medidas de precaución, y verificar las firmas digitales de los archivos que descarga puede ayudarlo a evitar software malicioso. Muchas veces, cuando los usuarios han descargado sistemas operativos con puertas traseras o software de billetera Bitcoin, podrían haber evitado el problema si verificaron las firmas, ya que no han sido manipuladas.

¿Es útil este artículo?

¡Compártelo en redes!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *