md5-sha-1-hash-comprobar-suma

Muchas descargas, como la de numerosos paquetes de software así como las imágenes ISO de las distribuciones Linux que descargamos nos presentan hashes MD5. Un hash es una clave cifrada sacada de un paquete que es única para dicho paquete, por tanto, si se modifica éste, la suma también se verá modificada, por tanto resulta una herramienta potente para saber si el software que te has descargado ha sufrido alguna modificación o daño, ya que el hash para un paquete es único, como la huella dactilar.

Si se comprueba que el hash de tu descarga y el hash que te ofrece el desarrollador o distribuidor en la web coinciden, entonces puedes estar tranquilo de que tu descarga está libre de daños o modificaciones. Pero no del todo… ya que hemos visto un ejemplo en el ataque de la web de Linux Mint, donde el atacante modificó el hash de la imagen ISO que había modificado con un backdoor para que al descargarla y comprobar el hash, éste coincidiese y no levantase sospechas.

No obstante es importante usar, por ejemplo md5sum, para comprobar estas sumas y garantizar que no han metido su zarpa terceros para modificar el paquete, siempre y cuando la web o servidor no haya sido atacada, por supuesto… Comprobar el hash es una buena práctica que muy pocos hacen y que desde ‘Linux en Español’ te animamos a realizar. Para comprobarlo es bien sencillo, si tienes instalado el paquete md5sum (instalada por defecto), y te has descargado una ISO o cualquier otro paquete, lo único que tienes que hacer es:

*Imaginando que el paquete que hemos bajado se llama linuxespañol.iso (que lo tenemos en el directorio Descargas)

1
2
3
cd Descargas
md5sum linuxespañol.iso

Dándote un hash que debes ver si es igual que el que muestra el sitio web de la descarga… ¡Ojo! El sitio web de la descarga debe ser de confianza, de lo contrario la comprobación no servirá de nada. Y un último apunte, también se hacen sumas con SHA-1, más seguro que MD5, y en cuyo caso, el procedimiento es el mismo, sustituyendo “md5sum” por “sha1sum”.

Si hay cualquier mínima modificación entre el hash obtenido y el hash original, no deberías fiarte del paquete…

Vía LinuxAdictos

Likes Facebook y Twitter

Gracias por tú atención.