Verificar que la imagen .iso usando md5sum y sha1sum

Ahora que estamos en plena época de descarga, voy a comentar un pequeño dato que a alguien le puede venir bien.

Cuando se realiza una descarga de un cd o de un DVD de un sistema operativo sobretodo, hay que comprobar que no ha habido ni un solo error en la transferencia del archivo orginal a nuestro CD/DVD. Un solo bit erróneo puede hacer que la instalación no funcione.

Para ello existen mecanismos que permiten que esto no suceda. Por cada descarga de un archivo imagen .iso existe otro asociado a el .md5 ó .sha1

mandriva-free-2007-DVD.i586.iso mandriva-free-2007-DVD.i586.md5 mandriva-free-2007-DVD.i586.sha1

ó

mandriva-powerpack-2007-DVD.i586.iso mandriva-powerpack-2007-DVD.i586.md5 mandriva-powerpack-2007-DVD.i586.sha1

Estos archivos .md5 y .sha1 suelen estar en el mismo directorio de descarga de la imagen .iso

Los archivos .md5 y .sha1 contienen, la suma única de un cd/DVD que lo identifica. Por lo tanto si sumamos todos los 1 y 0 que contiene el cd/DVD teniendo en cuenta su orden obtenemos "la suma", que es un valor alfanumérico. Si la suma que nosotros realizamos coincide con la del archivo .md5 ó .sha1 es que el archivo está bien y no está corrupto.

Por supuesto que no hace falta que cogamos papel y lápiz para la suma sino que existe un comando en linux.

Para ello se coloca el archivo original y el .md5 ó .sha1 en la misma carpeta y tecleamos en la consola

md5sum -c nombrefichero.md5

En mi caso

md5sum -c mandriva-free-2007-DVD.i586.md5

ó

sha1sum -c nombrefichero.sha1

En mi caso

sha1sum -c mandriva-free-2007-DVD.i586.sha1

Con un método --el "md5" ó el "sha1"-- es suficiente, aunque si eres paranoico puedes aplicar los dos.

Contar que en el programa de grabación K3b al grabar la imagen también calcula la suma md5 por lo que podrás abrir el archivo .md5 (con cualquier editor de texto) y comprobar tu mismo que la suma coincide.

Si te encuentras en un sistema operativo Windows puedes bajarte para comprobar la suma este programa (MD5summer). Una vez descomprimido el archivo zip ejecuta el programa y selecciona la carpeta donde se encuentra el archivo .md5 que quieras verificar pulsando el botón 'verifiy'(recuerda que debe estar junto al .iso del mismo nombre)

Una vuelta de tuerca más

¿Cómo sabemos que lo que nos hemos descargado realmente es lo que dice ser?

Me refiero a que alguien en el emule puede haber manipulado la imagen .iso de Mandriva, haber colocado un virus o un keylogger y haber generado los archivos .md5 y .sha1 Por supuesto el valor de la suma será diferente de la imagen iso original a la falsa.

Y al que le parezca que soy un paranoico que se enchufe al emule y se descargue Win XP y al instalar el antivirus se dará cuenta que ya está infectado porque el CD del XP que se bajo ya tenía el virus metido; no era una copia de la orginal sino una modificada. Es más frecuente de lo que parece.

Teniendo en cuenta esto, opino que es importante comprobarlo.

¿Pero cuál es la buena "suma" entonces?

Para solventar este problema existen las firmas digitales que son los archivos que tienen formato .asc

mandriva-free-2007-DVD.i586.md5.asc
mandriva-free-2007-DVD.i586.sha1.asc

Al abrir estos archivos con el programa PGP veremos la firma.

GNUPG:] PLAINTEXT 74 0
gpg: Firmado el mié 27 sep 2006 14:46:12 CEST usando clave DSA ID 70771FF3
[GNUPG:] SIG_ID FdVyUSDApkU8VF4h3gZ/7CQpw3w 2006-09-27 1159361172
[GNUPG:] GOODSIG E7898AE070771FF3 Mandrake Linux
gpg: Firma correcta de "Mandrake Linux "
[GNUPG:] VALIDSIG ED655537C36EEE0E309ABA84E7898AE070771FF3 2006-09-27 1159361172 0 3 0 17 2 01 ED655537C36EEE0E309ABA84E7898AE070771FF3

Huellas dactilares de la clave primaria: ED65 5537 C36E EE0E 309A BA84 E789 8AE0 7077 1FF3

Vamos a la página oficial de mandriva y comprobamos que la clava ID 70771FF3 y la huella dactilar coincide ED655537C36EEE0E309ABA84E7898AE070771FF3

Por lo que la suma que nos proporciona mandriva-free-2007-DVD.i586.md5.asc es la buena y lo que debe coincidir con nuestra imagen .iso

Es importante ir SIEMPRE a la página oficial y sólo a la página oficial para comprobar la firma. Puesto que por ejemplo la firma y huella digital que he escrito más arriba podrían ser falsas y no me conoceis de nada para fiaros de mi.
Repetimos. Las claves se miran/descargan de la PAGINA OFICIAL UNICAMENTE. La firma se puede importar con KGpg

http://qa.mandriva.com/twiki/pub/Main/GpgKeys/main.asc

De hecho no deberías ni fiarte del link que pongo aquí encima.

El programa GPG desde linux puede ser instalado tecleando en la consola:

urpmi Kgpg

Desde windows puedes descargarte una versión trial de PGP en http://www.pgp.com o información en http://www.gnupg.org

Grabando la imagen

Hay que activar en el programa de grabación del CD/DVD la opción "verificar escritura" (Todos las programas de grabación tienen esta opción)

Fijaros las molestias que nos hemos tomado en comprobar que la imagen estaba bien y era lo que decía tener, para que ahora se pueda producir un fallo al grabarlo al CD/DVD desde nuestro disco duro.

¿Qué hacer si "la suma" no coincide?

Tendrás una imagen corrupta que no es válida.

Posibles soluciones:

-Descarga mediante Bittorent
Si has utilizado la red bittorent para la descarga del archivo, existe una metodología para reparar la parte corrupta sin necesidad de volver a descargar todo otra vez.

1)Mueve el archivo corrupto a una carpeta diferente de la que las has descargado.

2)Vuelve a iniciar otra vez la descarga de cero, abriendo el .torrent de la imagen/archivo y nada mas iniciar la descarga detenla.

3)Salir de bittorent y sustituir el archivo que se acaba de crear en la carpeta de descarga de bittorent por el archivo corrupto (tendrán el mismo nombre)

4)Se vuelve a inciar bittorent y la descarga del archivo. Entonces automáticamente bittorent hará una comprobación del archivo corrigiendo las partes corruptas.

Una opción más sencilla es usar la opción re-comprobar que por lo menos tiene el programa azureus al hacer click con el botón derecho sobre el archivo que se está descargando. Si te has descargado un buena parte del archvo es buena idea hacer una re-comprobación

-Descarga por ftp
Volver a descargar la imagen.

Resumen.

Esto que hemos contado en realidad es cuestión de medio minuto y nos ahorrará muchos quebraderos de cabeza. Dependiendo de tu nivel de paranoia, podrás comprobar o no la firma pero la suma md5 ó sha1 así como la opción "verficar datos grabados" deberías hacerlo SIEMPRE al grabar un sistema operativo.

Si te bajas por ftp una imagen de los servidores de mandriva o de confianza, efectivamente, comprobar la firma no tiene tanta importancia.

Saludos.