Contrôler l’intégrité d’une ISO

Suite à un échange au sujet du système Archlinux sur Framasphere, j’ai téléchargé l’ISO et souhaitant « vérifier les sommes de contrôles« , je me suis dit qu’un petit article serait pas mal.

archlinux1

Le checksum, ou vérification des sommes de contrôles est une méthode pour s’assurer de l’intégrité d’un fichier. J’apporte ici une traduction la plus simple qu’il soit.

Il faut dans premier temps appliquer un « algorithme » sur le fichier  (ou message) à transmettre pour créer « l’empreinte« . Une fois en possession du dit fichier, vous comparez les 2 empreintes celle que vous trouvez et celle indiqué.

Voici les différentes méthodes avec des schémas et les définitions brut de décoffrage, il n’est pas nécessaire ici de comprendre la méthode. ( encore que..)

SHA1

développe par l’ Agence Sans Nom hum ça donne envie

SHA-1.svg
« SHA-1 ». Sous licence CC BY-SA 2.5 via Wikimedia Commons.

Très bon logiciel de cryptage chiffrement de données (mot de passe, texte) utilisé dans plusieurs langages dont php, sha1 prend en charge un fichier allant jusqu’à 2 exposant 64 bits. Pour mieux crypter chiffrer un fichier, sha1 utilise une méthode de calcul qui change régulièrement. A partir de fonctions booléennes, sha1 utilise un système de rotation de bits, des tours qui alternent ces rotations et des blocs de 512 bits. La signature numérique obtenue est une suite de variables.

(source SHA1.fr)

Un tour de la fonction de compression de SHA-1 : A, B, C, D, E sont des mots de 32 bits ; <<<n désigne une rotation des bits par décalage de n bits vers la gauche ; F est une fonction (non linéaire sur le corps F2 des booléens) qui dépend du numéro de tour t ; ⊞ est l’addition modulo 232 (l’addition des entiers machines non signés de 32 bits), qui est non linéaire sur F2 ; Kt est une constante (32 bits) qui dépend du numéro de tour t ; Wt est un mot de 32 bits qui dépend du numéro de tour t ; il est obtenu par une procédure d’expansion à partir du bloc de donnée (512 bits) dont le traitement est en cours.
(Source wikimedia)

Ici un outils en ligne pour utiliser la méthode SHA1

MD5

Md5 generalview.png
« Md5 generalview » par Dake — Travail personnel. Sous licence CC BY-SA 2.5 via Wikimedia Commons.

 

Réputé faillible et moins sure il reste toutefois très utilisé dans la vérification d’un fichier téléchargé, comme une ISO.

Utilisé dans les applications de nombreux langages comme Java et Php, l’algorithme Message Digest 5 (MD5) génère une empreinte unique de 128 bits à partir d’un mot de passe ou un texte de taille quelconque. Ensuite, le texte est scindé en plusieurs tranches qui seront codées en utilisant une série de zéros (autant que nécessaire) puis un « 1 » à la fin.

(source MD5.fr)

 

 

 

 

 

 

 

 

 

Signature PGP

Méthode intéressante au possible, c’est d’ailleurs pour ça que je propose Thunderbird comme client de messagerie, m’adressant au Windowsien, Thunderbird intégrant enigmail, facilitant ainsi l’usage de PGP

Pretty Good Privacy (en français : « Assez Bonne Confidentialité »), plus connu sous le sigle PGP, est un logiciel de chiffrement et de déchiffrement cryptographique.

Philip Zimmermann, son développeur, a mis PGP en téléchargement libre en 1991. Violant de façon subtile les restrictions à l’exportation pour les produits cryptographiques (il avait été placé sur un site web américain d’où il était possible de le télécharger depuis n’importe où), PGP a été très mal accueilli par le gouvernement américain, qui a ouvert une enquête en 1993 — abandonnée en 1996, sans donner de raison.

PGP se propose de garantir la confidentialité et l’authentification pour la communication des données. Il est souvent utilisé pour la signature de données, le chiffrement et le déchiffrement des textes, des courriels, fichiers, répertoires et partitions de disque entier pour accroître la sécurité des communications par courriel. Utilisant la cryptographie asymétrique mais également la cryptographie symétrique, il fait partie des logiciels de cryptographie hybride.

PGP et les produits similaires suivent le standard OpenPGP (RFC 48801) pour le chiffrement et le déchiffrement de données.

J’aborderais le PGP ou GPG dans un autre article.

Archlinux

Comme  bien souvent dans les distributions ou systèmes Gnu/Linux sur la page des téléchargements, vous trouverez les empreintes afin de vérifier l’intégrité de l’ISO  récupérée (C’est marrant j’ai pas trouvé pour les systèmes M$), on les trouve également sous la forme d’un petit fichier à récupérer.

archlinux1Mais quoi en faire?

Soit on lance une vérification en ligne de commande.

Tiens je me garde 8.1 sous le coude pour voir dans l’invite de commande.

Pour le MD5 un simple md5sum en indiquant le chemin de l’ISO et on compare avec l’empreinte d’indiquée sur le site.

archlinux2Pour le SHA1 un simple sha1sum et on compare.

archlinux3

Au pire pour ceux qui galère un peu avec le CLI , on peut ouvrir l’ISO avec k3b le graveur de disque, il nous donne le MD5 qu’il a trouvé.

archlinux4Et mieux encore k3b vous accompagne dans la comparaison d’empreinte, avec un clic-droit sur le point d’interrogation.

archlinux5En sélectionnant « Comparaison des sommes de contrôles », puis copier-coller la valeur depuis la page de téléchargement dans la cellule.

archlinux6Pas besoin d’une capture pour le copier-coller, faites OK, et voici:

archlinux9

Sidebar