Anda mungkin sudah sering mendownload beberapa software open source, misalnya berbagai distro Linux ISO. Saat mengunduh, Anda mungkin juga melihat tautan untuk mengunduh file checksum. Untuk apa tautan itu? Sebenarnya, distribusi Linux mendistribusikan file checksum bersama dengan file ISO sumber untuk memverifikasi integritas file yang diunduh. Dengan menggunakan checksum file, Anda dapat memverifikasi bahwa file yang diunduh adalah asli dan belum dirusak. Ini sangat berguna ketika Anda mengunduh file dari tempat lain daripada situs asli seperti situs web pihak ketiga di mana ada kemungkinan lebih besar untuk merusak file. Sangat disarankan untuk memverifikasi checksum saat mengunduh file dari pihak ketiga mana pun.
Pada artikel ini, kami akan membahas beberapa langkah yang akan membantu Anda memverifikasi unduhan apa pun di sistem operasi Ubuntu. Untuk artikel ini, saya menggunakan Ubuntu 18.04 LTS untuk menjelaskan prosedurnya. Selain itu, saya telah mengunduh ubuntu-18.04.2-desktop-amd64.iso dan akan digunakan dalam artikel ini untuk proses verifikasi.
Ada dua metode yang dapat Anda gunakan untuk memverifikasi integritas file yang diunduh. Metode pertama adalah melalui hashing SHA256 yang merupakan metode cepat tetapi kurang aman. Yang kedua adalah melalui kunci gpg yang merupakan metode yang lebih aman untuk memeriksa integritas file.
Verifikasi Unduhan menggunakan SHA256 Hash
Pada metode pertama, kami akan menggunakan hashing untuk memverifikasi unduhan kami. Hashing adalah proses verifikasi yang memverifikasi apakah file yang diunduh di sistem Anda identik dengan file sumber asli dan belum diubah oleh pihak ketiga. Langkah-langkah metodenya adalah sebagai berikut:
Langkah 1:Unduh file SHA256SUMS
Anda perlu menemukan file SHA256SUMS dari mirror resmi Ubuntu. Halaman cermin menyertakan beberapa file tambahan bersama dengan gambar Ubuntu. Saya menggunakan cermin di bawah ini untuk mengunduh file SHA256SUMS:
http://releases.ubuntu.com/18.04/
Setelah Anda menemukan file, klik untuk membukanya. Ini berisi checksum dari file asli yang disediakan oleh Ubuntu.
Langkah 2:Buat checksum SHA256 dari file ISO yang diunduh
Sekarang buka Terminal dengan menekan Ctrl+Alt+T kombinasi tombol. Kemudian navigasikan ke direktori tempat Anda meletakkan file unduhan.
$ cd [path-to-file]
Kemudian jalankan perintah berikut di Terminal untuk menghasilkan checksum SHA256 dari file ISO yang diunduh.
Langkah 3:Bandingkan checksum di kedua file.
Bandingkan checksum yang dihasilkan oleh sistem dengan yang disediakan di situs mirror resmi Ubuntu. Jika checksum cocok, Anda telah mengunduh file asli, jika tidak, file tersebut rusak.
Verifikasi Unduh Andamenyanyikan kunci gpg
Cara ini lebih aman dari yang sebelumnya. Mari kita lihat cara kerjanya. Langkah-langkah metodenya adalah sebagai berikut:
Langkah 1:Unduh SHA256SUMS dan SHA256SUMS.gpg
Anda perlu menemukan file SHA256SUMS dan SHA256SUMS.gpg dari mirror Ubuntu mana pun. Setelah Anda menemukan file-file ini, buka. Klik kanan dan gunakan opsi simpan sebagai halaman untuk menyimpannya. Simpan kedua file di direktori yang sama.
Langkah 2:Temukan kunci yang digunakan untuk mengeluarkan tanda tangan
Luncurkan Terminal dan navigasikan ke direktori tempat Anda meletakkan file checksum.
$ cd [path-to-file]
Kemudian jalankan perintah berikut untuk memverifikasi kunci mana yang digunakan untuk menghasilkan tanda tangan.
$ gpg –verify SHA256SUMS.gpg SHA256SUMS
Kami juga dapat menggunakan perintah ini untuk memverifikasi tanda tangan. Tetapi saat ini, tidak ada kunci publik, sehingga akan mengembalikan pesan kesalahan seperti yang ditunjukkan pada gambar di bawah ini.
Dengan melihat output di atas, Anda dapat melihat bahwa ID kuncinya adalah:46181433FBB75451 dan D94AA3F0EFE21092. Kami dapat menggunakan ID ini untuk memintanya dari server Ubuntu.
Langkah 3:Dapatkan kunci publik server Ubuntu
Kami akan menggunakan ID kunci di atas untuk meminta kunci publik dari server Ubuntu. Itu dapat dilakukan dengan menjalankan perintah berikut di Terminal. Sintaks umum dari perintah ini adalah:
$ gpg –keyserver <keyserver-name –recv-keys <publicKey>
Sekarang Anda telah menerima kunci dari server Ubuntu.
Langkah 4:Verifikasi sidik jari kunci
Sekarang Anda perlu memverifikasi sidik jari kunci. Untuk itu, jalankan perintah berikut di Terminal.
$ gpg --list-keys --with-fingerprint <0x-----> <0x------>
Langkah 5:Verifikasi tanda tangan
Sekarang Anda dapat menjalankan perintah untuk memverifikasi tanda tangan. Ini adalah perintah yang sama yang Anda gunakan sebelumnya untuk menemukan kunci yang digunakan untuk mengeluarkan tanda tangan.
$ gpg --verify SHA256SUMS.gpg SHA256SUMS
Sekarang Anda dapat melihat output di atas. Ini menampilkan Tanda tangan yang bagus pesan yang memvalidasi integritas file ISO kami. Jika tidak cocok, itu akan ditampilkan sebagai tanda tangan BURUK .
Anda juga akan melihat tanda peringatan itu hanya karena Anda belum menandatangani kunci dan tidak ada dalam daftar sumber tepercaya Anda.
Langkah Terakhir
Sekarang Anda perlu membuat checksum sha256 untuk file ISO yang diunduh. Kemudian cocokkan dengan file SHA256SUM yang telah Anda unduh dari mirror Ubuntu. Pastikan Anda telah menempatkan file yang diunduh, SHA256SUMS, dan SHA256SUMS.gpg di direktori yang sama.
Jalankan perintah berikut di Terminal:
$ sha256sum -c SHA256SUMS 2>&1 | grep OK
Anda akan mendapatkan output seperti di bawah ini. Jika outputnya berbeda, itu berarti file ISO yang Anda unduh rusak.
Itu saja yang perlu Anda ketahui tentang memverifikasi unduhan di Ubuntu. Dengan menggunakan metode verifikasi yang dijelaskan di atas, Anda dapat mengonfirmasi bahwa Anda telah mengunduh file ISO asli yang tidak rusak dan rusak selama pengunduhan.