Cuando descargue un archivo grande como una distribución de Linux en forma de ISO, debe validarlo para asegurarse de que el archivo se ha descargado correctamente.

En el pasado, ha habido muchas maneras de validar la autenticidad de un archivo. En el nivel más crudo, puede comprobar el tamaño del archivo o puede comprobar la fecha en que se creó el archivo. También puede contar el número de archivos en un archivo ISO u otro archivo o, si está realmente interesado, puede comprobar el tamaño, la fecha y el contenido de cada archivo dentro de un archivo.

Las sugerencias anteriores van desde ineficaces hasta demasiado exageradas.

Un método que se ha utilizado durante varios años es que los desarrolladores de software y distribuciones Linux proporcionen una ISO que envían a través de un método de cifrado llamado MD5. Esto proporciona una suma de comprobación única.

La idea es que como usuario puede descargar la ISO y luego ejecutar una herramienta que crea una suma de comprobación MD5 contra ese archivo. La suma de control que se devuelve debe coincidir con la que se encuentra en el sitio web del desarrollador de software.

Esta guía le mostrará cómo usar Windows y Linux para comprobar la suma de comprobación MD5 de una distribución de Linux.

Descarga de un archivo con una suma de comprobación MD5

Para demostrar cómo validar la suma de comprobación de un archivo, necesitará un archivo que ya tenga una suma de comprobación MD5 disponible para su comparación.

La mayoría de las distribuciones de Linux proporcionan una suma de comprobación SHA o MD5 para sus imágenes ISO. Una distribución que definitivamente utiliza el método de suma de comprobación MD5 para validar un archivo es Bodhi Linux.

Puede descargar una versión en vivo de Bodhi Linux desde http://www.bodhilinux.com/.

La página enlazada tiene tres versiones disponibles:

• Estándar;
• Versión de AppPack;
• Liberación del legado.

Para esta guía, mostraremos la versión Standard porque es la más pequeña pero puedes elegir la que desees.

Usted querrá descargar DOS archivos: La ISO de Bodhi Linux, disponible en el enlace de descarga, y el archivo MD5, que querrá abrir en el Bloc de notas, como se muestra a continuación. Comparará la suma de comprobación que ve en el archivo MD5 con la suma de comprobación que obtendrá desde el Símbolo del sistema (abajo).

1. Primero, descargue la ISO haciendo clic en el enlace Descargar justo debajo de la sección de la versión estándar.

   

2. Junto al enlace de descarga verá un enlace llamado MD5 . Haga clic en él para descargar el archivo de suma de comprobación MD5 a su ordenador.

   

3. A continuación, abra el archivo en el Bloc de notas. El contenido será algo así:

   ba411cafee2f0f702572369da0b765e2 bodhi-4.1.0-64.iso

4. Guarde eso a un lado y continúe verificando a continuación.

Verificar la suma de comprobación MD5 utilizando Windows

Para verificar la suma de comprobación MD5 de la ISO de Linux o de cualquier otro archivo que tenga una suma de comprobación MD5, siga estas instrucciones:

1. Abra el símbolo del sistema.

   

2. Navegue hasta la carpeta de descargas escribiendo cd Descargas

   

   Por supuesto, si el archivo que desea comprobar no está en la carpeta Descargas, tendrá que escribir el nombre exacto de la carpeta, como cd «folderpathhere» .

3. Escriba certutil -hashfile seguido del nombre del archivo y luego MD5 .

   

4. Compruebe que el valor devuelto coincide con el valor del archivo MD5 que descargó del sitio web de Bodhi (y que se abrió en el Bloc de notas).

   

5. Si los valores no coinciden, el archivo no es válido y debe descargarlo de nuevo.

Verificar la suma de comprobación MD5 usando Linux

Para verificar la suma de comprobación MD5 utilizando Linux, siga estas instrucciones:

1. Abra una ventana de terminal presionando ALT y T al mismo tiempo.

2. Escriba cd ~/Downloads , o un nombre de carpeta diferente si no es ahí donde está almacenado su archivo.

3. Introduzca md5sum seguido del nombre del archivo.

4. El valor mostrado por el comando md5sum debe coincidir con el md5 en el archivo mostrado usando el comando cat en el paso 4.

5. Si los valores no coinciden, hay un problema con el archivo y debe descargarlo de nuevo.

Problemas

El método md5sum para comprobar la validez de un archivo sólo funciona si el sitio desde el que está descargando el software no ha sido comprometido.

En teoría, funciona bien cuando hay muchos servidores de réplica porque siempre se puede comparar con el sitio web principal.

Sin embargo, si el sitio principal es pirateado y se proporciona un enlace a un nuevo sitio de descargas y se cambia la suma de comprobación en el sitio web, entonces básicamente estás siendo engañado para descargar algo que probablemente no quieras usar.

Aquí hay un artículo que muestra cómo comprobar la suma md5 de un archivo usando Windows. Esta guía menciona que muchas otras distribuciones ahora también usan una clave GPG para validar sus archivos. Esto es más seguro, pero faltan las herramientas disponibles en Windows para comprobar las claves GPG. Ubuntu utiliza una clave GPG como medio para verificar sus imágenes ISO y puede encontrar un enlace que muestra cómo hacerlo aquí.

Incluso sin una clave GPG, la suma de comprobación MD5 no es el método más seguro para proteger los archivos. Ahora es más común usar el algoritmo SHA-2.

Muchas distribuciones de Linux utilizan el algoritmo SHA-2 y para validar las claves SHA-2 es necesario utilizar programas como sha224sum, sha256sum, sha384sum y sha512sum. Todos funcionan de forma muy similar a la herramienta md5sum.