大量のファイルをダウンロードしましたが、つい最近、md5とshaが整合性チェッカーとして使用されていることを発見しました。それ以来、破損していることがわからなかったとしても、ダウンロードした大きなファイルがないか常に確認することを好みます。
ダウンロードしたファイルの整合性を本当にチェックする必要がありますか?
例として、ダウンロードしたばかりのLinuxディストリビューション(1 GB)を選択します。
ありがとうございました
大量のファイルをダウンロードしましたが、つい最近、md5とshaが整合性チェッカーとして使用されていることを発見しました。それ以来、破損していることがわからなかったとしても、ダウンロードした大きなファイルがないか常に確認することを好みます。
ダウンロードしたファイルの整合性を本当にチェックする必要がありますか?
例として、ダウンロードしたばかりのLinuxディストリビューション(1 GB)を選択します。
ありがとうございました
回答:
それはいくつかの要因に依存します。
安定したインターネット接続がありますか?
インターネット接続が安定している場合は、ファイルの整合性を確認する必要はほとんどありません。ハッシュをチェックしたり、ファイルが破損したことはありません。または、リモートサーバーが切断されたときのことです。
セキュリティ上の理由に基づいてファイルを検証しますか?
ダウンロードするファイルの安全性が心配な場合は、MD5ハッシュを使用して、ファイルが何らかの形で変更されていないことを確認できます。ファイルをダウンロードし、MD5ハッシュが一致しない場合は、サーバー上のファイルがMD5ハッシュとは異なることを意味し、なんらかの問題が発生しています。これは、ダウンロード元のサーバーが信頼できない場合にのみ有効ですが、通常、誰かがハッシュを提供した場合、通常は最新のものを維持するために最善を尽くします。しかし、彼らのサイトがハッキングされ、MD5ハッシュをチェックした場合、少しのボーナスを得た。
全体として、これら2つはほとんどの人にノーを与えます。それがあなたにとってノーであれば、もちろんそれはあなた次第です。
1つが行う答えと選択は、彼/彼女のリスク許容度と、検証における時間と労力の考慮に基づいて行われます。
MD5 / SHA1ハッシュをチェックすることは良い最初のステップであり、時間があるときに行う必要があります。ただし、提供されたハッシュを信頼する能力を考慮する必要があります。たとえば、ハッシュを含む作成者のWebサイトがハッキングされた場合、攻撃者はハッシュを変更できるため、ユーザーにはわかりません。計算したハッシュが提供されたハッシュと同じでない場合は、何か問題があることがわかります。ただし、ハッシュが一致したからといって、ファイルが良好であるとは限りません。
ソフトウェアの作成者が整合性と信頼性を提供するためのより良い代替手段は、配布されるファイルにデジタル署名することです。これにより、認証情報がファイルに添付され、一部のWebサイトを信頼する必要がなくなります。作成者がファイルにデジタル署名した場合、これが偽造される唯一の方法は、侵害された認証局か、開発者の署名鍵が盗まれたかどうかです。これらのケースはどちらも、ハッキングされているインターネット上のWebサイトよりもはるかに可能性が低いです。
最終的には、何かを信頼するかどうかを判断するために独自のデューデリジェンスを実行し、次に対策(サンドボックス、仮想マシンなどで実行)を実行して、信頼するかどうかを決定するときに行った不明な要素や誤算を軽減する必要があります。 。
セキュリティ上の理由から、はい。ダウンロード中に Tor出口ノードがバイナリにパッチを適用していることが判明したことを考慮してください。ISPがわずかなモラルを持っている場合と持っていない場合があり、インターネット接続を完全に制御していることに注意してください。
他の答えに追加するだけです:
TLDR:整合性が重要なファイルの場合、はい
長い回答:ファイルの整合性が非常に重要である場合に何かを実行しているときに必要になることがよくあります。
1つの例は、OpenWRTでルーターをフラッシュすることです。ファイルが破損している場合、そのルーターはブリックされ、次のいずれかを行う必要があります。
ハッシュをチェックする単純さと比較すると、これらはどちらも不便です。したがって、重要なファイルに対して実行することを強くお勧めします。
私は通常、ダウンロードが中断されたかどうかを確認するだけで済み、後で再開しました。シークオフセットのあるHTTPリクエストはそれほど広く使用されていないため、何か愚かなことが起こった可能性があります。
多くの場合、ダウンロードは圧縮ファイルであり、壊れても解凍されません。そうでない場合、チェックは悪い考えではありません。追記型メディアに書き込む前にISOをチェックする場合があります。
他の回答やコメントにあるように、取得したのと同じサイトのハッシュを使用してそれを検証することは、セキュリティ面でほとんど役に立ちません。ミラーからダウンロードした方が便利な場合がありますが、ハッシュは元のアップストリームからのものです。または、ファイル名があいまいで、何らかの理由で、希望する正確なバージョンを取得したかどうかが不明な場合。
要点は、ハッシュを公開しているのは、ハッシュをホストしている同じサイトからファイルをダウンロードする以外にも、多くの特別な場合に役立つということです。