Стоит ли проверять ISO, загруженные с официального сайта?

Я скачал ISO с https://www.ubuntu.com/download , выбрав вариант «Ubuntu Desktop» по умолчанию.

Веб-сайт ссылается на страницу https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu, которая содержит инструкции по проверке Ubuntu.

Это кажется довольно утомительным, и мне интересно, насколько реально, что есть проблема с ISO, загруженной с официального сайта. Я отмечаю, что сам процесс проверки требует от меня загрузки нового для меня программного обеспечения, что создает еще один вектор атаки для меня, даже когда я закрываю еще один.

Что бы это ни стоило, я планирую использовать только Live USB, а не полностью устанавливать Ubuntu. Это имеет значение?

Да, это того стоит.

Md5sum / etc загруженного ISO занимает всего несколько секунд, и это дает уверенность в том, что вы не были атакованы MITM и т. Д. Кроме того, эти секунды являются страховкой на [часы] потраченного времени, если у вас было несколько битовых ошибок и необходима отладка погоня за ошибками, которые никто больше не получает из-за вашей загрузки (например, у вас есть проблемы с сетью и поэтому попытайтесь отладить; но сеть напичкана, потому что это то, что было неправильно) ... Думайте о проверках контрольной суммы как о очень дешевой страховке.

Программное обеспечение, необходимое для md5sum чего-то, обычно будет из другого источника (более старая версия, даже иногда отличная ОС / дистрибутив), очень мало и уже присутствует для многих / большинства из нас.

Кроме того, он позволяет мне скачивать с локального зеркала, но потому что я беру md5sum из канонического источника; У меня есть страховка, что зеркало не играет с ним. Опять же очень дешевая страховка, которая стоит мне ~ 3 сек времени.

Да, ОЧЕНЬ РЕКОМЕНДУЕТСЯ проверить изображение, которое вы скачали, вот несколько причин:

• Просто занимает несколько секунд и может сказать вам, если целостность файла правильная, я имею в виду, файл не поврежден. (Распространенной причиной повреждения является ошибка передачи из-за технических причин, таких как ненадежное подключение к Интернету из комментария @sudodus.)
• Если файл поврежден и вы записали этот ISO-образ в дисковод CD / USB, и он не будет работать, или во время установки может произойти сбой, это приведет к пустой трате времени и компакт-дисков.
• Вы уверены, что используете официальную версию CLEAN любого ISO-образа или программного обеспечения, а не модифицированную версию (возможно, злоумышленниками), см. Этот отчет: « Пираты Watch Dogs» пострадали от коварного вредоносного ПО для майнинга биткойнов

Если у вас уже есть дистрибутив GNU Linux, вы можете использовать md5sum , если вы в Windows, вы можете использовать: WinMD5Free .

Надеюсь, это поможет.

Да, это так, но Ubuntu, кажется, делает это сложнее, чем должно быть.

В лучшем случае вы просто скачали бы foo.iso и foo.iso.sig и щелкнули файл .sig (или использовали gpg на оболочке в файле .sig) после того, как один раз импортировали ключ. Это стоит несколько секунд.

Ubuntu, кажется, усложняет задачу, заставляя вас проверять суммы sha256 из файла, пока подписан только сам файл. Это удобно для них, но больше работы для их пользователей.

С другой стороны, когда файл был сгенерирован просто sha256sum * >SHA256SUMS, вы можете проверить его используя sha256 -cи получить в OK/Bad/Not-Foundкачестве вывода.

Проверьте свой /proc/net/devи посмотрите, сколько плохих кадров TCP вы уже получили. Если вы видите однозначное значение (возможно, ноль), читайте дальше. Если у вас много или сетевые ошибки, то обязательно используйте MD5 для проверки ваших загрузок (хотя я бы предпочел выяснить основную причину, поскольку ненадежная сеть означает, что вы не можете доверять ничему, что вы получаете по HTTP).

Когда вы загружаете через TCP, который проверяет контрольные суммы всех передаваемых данных, очень мало шансов получить поврежденную загрузку с точно таким же размером. Если вы уверены, что скачиваете с официального сайта (как правило, если вы используете HTTPS и проверка сертификата проходит успешно), обычно достаточно проверить, что загрузка завершена. Достойные веб-браузеры обычно все равно проверяют вас, говоря что-то вроде «сбой загрузки», если они не получают ожидаемый объем данных, хотя я видел браузеры, которые просто решили сохранить неполный файл, ничего не сказав пользователю, и в этом случае вы можете проверить размер файла вручную.

Конечно, проверка контрольной суммы по-прежнему имеет свое значение, охватывая вас в тех случаях, когда загружаемый файл поврежден на сервере, но это происходит не слишком часто. Тем не менее, если вы собираетесь использовать загрузку для чего-то важного, это шаг, который стоит предпринять.

Как сказал @sudodus в комментариях, использование Bittorrent вместо HTTPS - это еще один вариант, поскольку торрент-клиенты гораздо лучше справляются с неполными / поврежденными данными, чем веб-браузеры.

Обратите внимание, что контрольные суммы на самом деле не мешают вам атаковать, для этого и нужен HTTPS.

Я нашел трудный способ не проверять суммирование. Я записал бы компакт-диск с ISO, который был поврежден во время загрузки, и не мог загрузить его, или у него были ошибки при запуске.

Как говорили другие, это занимает мало времени.

Вы видите это только в одном случае использования, в сочетании с массовой автоматизацией это помогает проверить его; скрипты, которые запускают проверку, прежде чем приступить к тому, что когда-либо нам нужно делать с изображением

Другие дали ответы с техническими подробностями, которые я забыл, хотя я программист (моя работа не связана с общением по сетям), поэтому я просто хочу рассказать вам о своем личном опыте.

Давным- давно , когда я часто записывал компакт-диски, однажды мне довелось загрузить этот ISO-дистрибутив Linux, который, похоже, загрузился правильно. CD не помог мне, поэтому я проверил загруженный файл, и он не совпадал. Итак, я скачал снова, и это сработало. Таким образом, это произошло только один раз за 15 лет, так как я был опытным пользователем компьютера и программировал (использую компьютеры с 11, 19 лет назад, и я записал более тысячи дисков). Но это доказательство того, что это может произойти.

Это также случалось со мной через BitTorrent один или два раза, так что это также не является отказоустойчивым. При принудительной повторной проверке загруженного файла он обнаружил поврежденный фрагмент.

Я пришел к выводу, что HTTP (полагаясь на TCP) может быть настолько безопасным, насколько это возможно, но Интернет означает, что между вашим устройством и сервером существуют промежуточные узлы, и нет никаких сведений о том, что может произойти в пути (пакеты даже теряются во всех случаях. время), а иногда компьютеры не могут сказать, что данные неверны, я думаю.

Никто не может ответить, будет ли это стоить вам неприятностей - это зависит от контекста, и я уверен, что вы можете судить об этом сами. Для меня это не стоит большую часть времени. Если бы я собирался установить ОС, я бы проверил загруженный образ раньше.

Примечание: тот факт, что я только один или два раза заметил поврежденную загрузку, не означает, что это произошло только тогда. Может быть, в других случаях это не мешает, чтобы вы не заметили.

РЕДАКТИРОВАТЬ: У меня даже были другие более опытные программисты на работе утверждают (даже с некоторым негодованием), что эти хэши проверки целостности данных позволяют узнать , является ли файл немного идентичным оригиналу, но я знаю (я читал), что Тот факт, что два файла приводят к одному и тому же хешу, не означает, что они идентичны, а просто означает, что крайне маловероятно, что они различаются. Они полезны тем, что когда файлы не идентичны, а особенно когда они сильно различаются, их результирующие хэш-коды практически никогда не будут одинаковыми (еще менее вероятно, что этот тест не пройдёт). Меньше слов - если хеш-коды разные, вы знаете, что файлы разные.