Como comprobar integridad de descargas/es

Aus i2pwiki.mk16.de
Zur Navigation springen Zur Suche springen

Introducción[Bearbeiten]

Tener la garantía de instalar paquetes y aplicaciones que provengan del origen del que dicen tener, es decir, de repositorios o directamente desde el desarrollador es hoy una fuente de inseguridad que nos obliga a tomar ciertas medidas de seguridad.

Actualmente GnuPG/es se ha convertido en la herramienta mas extendida para este fin. El procedimiento general contiene dos partes.

Por la parte del desarrollador, este debe crear una llave GnuPG y usar esta para derivar un certificado de confianza para cada paquete.

Por la parte del usuario, también debe tener GnuPG para agregar la llave publica del desarrollo y usarla para comparar el certificado de cada paquete. Este certificado y la llave publica del desarrollador son únicos y por lo mismo es (casi) imposible falsificar el paquete y su contenido.


Primer paso: Descarga los Paquetes[Bearbeiten]

Usando el terminal podemos descargar el paquete desde internet.

$ wget http://sitio-del-paque.te/paquete.tar.gz

A continuación descargamos la llave del desarrollador.

$ wget http://sitio-del-paque.te/llave.key

Y por ultimo el certificado

$ wget http://sitio-del-paque.te/paquete.sig

Una vez descargados los paquetes seguimos con GnuPG/es.

GnuPG es requisito indispensable para poder hacer esto


Ejemplo: TAILS[Bearbeiten]

Descargamos la llave y el certificado.

$ wget https://tails.boum.org/tails-signing.key
$ wget https://tails.boum.org/torrents/files/tails-i386-1.4.1.iso.sig

Se importa el certificado para el paquete ISO de TAILS.

$ gpg --keyid-format long --import tails-signing.key

El resultado debería ser

gpg: key DBB802B258ACD84F: public key "Tails developers (offline long-term identity key) <tails@boum.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

Si la llave publica del proyecto Tails ya fue importada, el resultado debería ser.

gpg: key DBB802B258ACD84F: "Tails developers (offline long-term identity key) <tails@boum.org>" not changed
gpg: Total number processed: 1
gpg:              unchanged: 1

Si al final apareciera la siguiente linea

gpg: no ultimately trusted keys found

Para el análisis de la imagen ISO o de cualquier paquete que se ha descargado desde el proyecto TAILS, este error no es relevante.


Verificando la imagen ISO[Bearbeiten]

Después de la descarga de la firma criptográfica correspondiente a la imagen ISO se puede verificar la integridad de esta en la misma carpeta donde se encuentra la ISO.

El proceso de verificación puede tomar algún tiempo. Paciencia.

$ gpg --keyid-format long --verify tails-i386-1.4.1.iso.sig tails-i386-1.4.1.iso

Si la imagen ISO esta correcta deberíamos ver los siguientes mensajes.

pg: Signature made Sun 08 Feb 2015 08:17:03 PM UTC
gpg:                using RSA key 3C83DCB52F699C56
gpg: Good signature from "Tails developers (offline long-term identity key) <tails@boum.org>" [unknown]
Primary key fingerprint: A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
Subkey fingerprint: BA2C 222F 44AC 00ED 9899  3893 98FE C6BC 752A 3DB6

o

pg: Signature made Sun 08 Feb 2015 08:17:03 PM UTC
gpg:                using RSA key 98FEC6BC752A3DB6
gpg: Good signature from "Tails developers (offline long-term identity key) <tails@boum.org>" [unknown]
Primary key fingerprint: A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
Subkey fingerprint: A509 1F72 C746 BA6B 163D  1C18 3C83 DCB5 2F69 9C56

Pero si se obtienen los siguientes mensajes

gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F

Aun asi la imagen ISO es correcta y valida de acuerdo a la llave publica y al certificado descargado. Este aviso se relaciona a la confianza que le hemos asignado a la llave del proyecto TAILS.

Si se quiere eliminar este aviso, se debe firmar (y darle así un voto de confianza) la llave del proyecto TAILS con nuestra propia llave.

En caso de que la imagen ISO no fuera correcta (o falsificada) los mensajes de salida serian.

gpg: Signature made Sat 30 Apr 2015 10:53:23 AM CEST
gpg:                using RSA key DBB802B258ACD84F
gpg: BAD signature from "Tails developers (offline long-term identity key) <tails@boum.org>"


Resumen[Bearbeiten]

Como hemos visto en el ejemplo, aplicable a cualquier cosa descargada desde la WWW, la veracidad nos puede salvar de un ataque, virus, troyano o cualquier cosa indeseada.


Véase también[Bearbeiten]


Referencias[Bearbeiten]

<references />