Frage Ist es sinnvoll, ISOs von der offiziellen Website herunterzuladen?


Ich habe die ISO heruntergeladen https://www.ubuntu.com/downloadWählen Sie die Standardoption "Ubuntu Desktop".

Die Website verlinkt die Seite https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu Das gibt Anweisungen, wie Ubuntu zu überprüfen ist.

Dies scheint ziemlich mühsam zu sein, und ich frage mich, wie realistisch es ist, dass es ein Problem mit ISO gibt, das von der offiziellen Website heruntergeladen wurde. Ich stelle fest, dass der Prozess der Verifikation selbst erfordert, dass ich Software, die neu für mich ist, herunterlade, wodurch ein weiterer Angriffsvektor auf mich eingeführt wird, selbst wenn ich einen anderen schließe.

Für das, was es wert ist, plane ich, nur Live USB zu verwenden und Ubuntu nicht vollständig zu installieren. Macht das einen Unterschied?


36
2018-01-08 02:31


Ursprung


Meine politische Antwort lautet "JA TUN". Ich habe es noch nie gemacht, außer vielleicht beim ersten Download vor vielen Monden. Ich lade und evaluiere immer Software oder Patches / Bugfixes und kann einfach nicht mit den zusätzlichen Schritten belästigt werden. Plus meine Systeme sind alle nicht-Produktion und wenn sie morgen "poof" gehen würde ich einfach zucken und fahre fort. - WinEunuuchs2Unix
Torrent ist eine Alternative, wenn Sie die md5sum nicht überprüfen möchten. Wenn du eine Datei über Torrent bekommst, wird sie automatisch überprüft :-) Es ist oft schneller, die Torrent-Methode zu verwenden (im Vergleich zu gewöhnlichen Downloads), aber einige Internet Service Provider blockieren sie, weil sie denken, dass sie nur für illegale Zwecke verwendet wird . - sudodus
Die primäre Verwendung von MD5-Prüfsummen über große Dateien besteht darin, die Integrität der heruntergeladenen Datei sicherzustellen (z. B. um zu erkennen, ob die Übertragung vorzeitig abgebrochen wurde), um die Wahrscheinlichkeit von MITM-Angriffen nicht zu verringern. - rexkogitans
@rackandboneman Nein, das ist nicht die grundlegende Frage überhaupt. - David Richerby
Interessante Tatsache: Sie werden wahrscheinlich mehr Zeit damit verbringen, diese Frage zu stellen, als in Ihrem ganzen Leben Prüfsummen zu berechnen. - el.pescado


Antworten:


Ja, es lohnt sich.

Es dauert nur Sekunden bis zu md5sum / etc eine heruntergeladene ISO, und es bietet Ihnen die Sicherheit, dass Sie nicht von MITM usw. angegriffen wurden. Darüber hinaus sind diese Sekunden eine Versicherung für die [Stunden] Zeit verschwendet, wenn Sie ein paar Bitfehler und Debugging benötigt Verfolgungsfehler, die niemandem wegen Ihres Downloads bekommt (zB Sie haben Netzwerkprobleme und versuchen Sie es zu debuggen; aber Netzwerk ist voll, weil das die wenigen Bits waren, die falsch waren ...) Stellen Sie sich Schecks als sehr billige Versicherung vor.

Die Software, die für md5sum benötigt wird, wird in der Regel aus einer anderen Quelle stammen (eine ältere Version, manchmal sogar eine andere Version), ist sehr klein und ist bereits für viele / die meisten von uns vorhanden.

Weiter erlaubt es mir, von einem lokalen Spiegel zu downloaden, aber weil ich die md5sum aus der Canonical-Quelle ergreife; Ich habe Versicherung, dass der Spiegel nicht damit gespielt hat. Wieder eine sehr günstige Versicherung, die mich ca. 3 Sekunden kostet.


57
2018-01-08 02:40



Wenn der Download jedoch die HTTPS-Übertragungsmethode verwendet hat, wurden alle Integritätsprüfungen bereits durchgeführt. - Nayuki
@Nayuki diese Integritätsprüfungen wären wertlos, wenn die Datei auf dem Server irgendwie beschädigt ist (Festplatten- / FS-Treiberfehler, schlechte Spiegelung usw.). - Ruslan
@Nayuki Nur weil Sie über HTTPS auf eine Website zugreifen, heißt das nicht, dass die gesamte Verbindung von Ihrem PC zu dem Speicher, der die heruntergeladene Datei enthält, Ende-zu-Ende verschlüsselt ist. Siehe das Datacenter-Interlink-Debakel von Google vor einigen Jahren. - Michael Kjörling
Wenn jemand MITM die ISO hat, von der man sagt, dass sie die Prüfsumme nicht mitgemessen hat, als man sie auf der Webseite gesehen hat? (Wenn Sie eine Spiegelung verwenden, ist das nützlich.) Es ist nicht selten, dass die Prüfsumme und der Download von derselben Entität stammen. - Lan
NIEMALS die Annahme machen, dass eine Checksumme MitM erkennt. Die angegebenen Prüfsummen können auch gefälscht sein. Der richtige Weg ist, das zu überprüfen Unterschrift, aber das erfordert GPG (Ich habe das nur einmal gemacht und es ist ein Schmerz zu tun). - Micheal Johnson


Ja, so ist es SEHR EMPFOHLEN dass du das heruntergeladene Bild verifizierst, hier einige Gründe:

  • Dauert nur ein paar Sekunden und kann Ihnen sagen, ob die Integrität der Datei korrekt ist, ich meine, die Datei ist nicht beschädigt. (Eine häufige Ursache für Korruption ist ein Übertragungsfehler, der aus technischen Gründen wie einer schlappen Internetverbindung von @ sudodus stammt.)
  • Wenn die Datei beschädigt ist und Sie dieses ISO-Image auf ein CD / USB-Laufwerk brennen und es nicht funktioniert oder eine Installation fehlschlägt, führt dies zu Zeitverschwendung und CDs.
  • Sie sind sicher, dass Sie die offizielle CLEAN-Version eines beliebigen ISO-Images oder einer ISO-Software und keine modifizierte Version (möglicherweise von Angreifern) verwenden, siehe folgenden Bericht: Watch Dogs Piraten von Skorbut Bitcoin-Bergbau-Malware getroffen

Wenn Sie bereits eine GNU Linux-Distribution haben, können Sie sie verwenden MD5sumWenn Sie in Windows sind, können Sie Folgendes verwenden: WinMD5Free.

Ich hoffe es hilft.


21
2018-01-08 03:52



Für Windows können Sie das eingebaute verwenden certutil: superuser.com/a/898377/521689 - Kanchu
Ich habe auch geantwortet, aber ich erhebe Ihre Antwort, weil ich denke, dass sie die Frage auch gut beantwortet und für mehr Leser nützlich ist, da sie nicht zu sehr auf technische Details wie die anderen Antworten eingeht. - bitoolean
@sudodus-Netzwerke haben eigene Integritätsprüfungen. Es ist zwar nicht unmöglich, dass Fehler über sie hinwegkommen (TCP verwendet nur eine einfache Prüfsumme, die keine Wortswaps erkennt, aber die meisten Links verwenden CRC), etwas, worüber man sich im Allgemeinen keine Sorgen macht. - Barmar
Wenn ein Angreifer Dateien korrumpieren kann, sollte auch der Wert in einer MD5-Box geändert werden. - Pascal Engeler


Ja, ist es, aber Ubuntu scheint es schwieriger zu machen, als es sein sollte.

Im besten Fall würden Sie einfach foo.iso und foo.iso.sig herunterladen und auf die .sig-Datei klicken (oder gpg in der Shell in der .sig-Datei verwenden), nachdem Sie den Schlüssel einmal importiert haben. Das kostet ein paar Sekunden.

Ubuntu scheint es komplizierter zu machen, indem man die sha256-Summen aus einer Datei überprüft, während nur die Datei selbst signiert ist. Das ist praktisch für sie, aber mehr Arbeit für ihre Benutzer.

Auf der anderen Seite, wenn die Datei nur durch generiert wurde sha256sum * >SHA256SUMS, können Sie es mit überprüfen sha256 -c und bekomme OK/Bad/Not-Found als Ausgabe.


2
2018-01-09 16:01





Überprüfe dein /proc/net/dev und sehen Sie, wie viele schlechte TCP-Frames Sie bisher erhalten haben. Wenn Sie einen einstelligen Wert (hoffentlich eine Null) sehen, lesen Sie weiter. Wenn Sie viele oder Netzwerkfehler haben, verwenden Sie unbedingt MD5, um Ihre Downloads zu überprüfen (obwohl ich lieber die Ursache untersuchen würde, da unzuverlässiges Netzwerk bedeutet, dass Sie nichts vertrauen können, was Sie über HTTP erhalten).

Wenn Sie über TCP herunterladen, bei dem alle übertragenen Daten überprüft werden, besteht kaum eine Chance auf einen fehlerhaften Download mit genau der gleichen Größe. Wenn Sie sicher sind, dass Sie von der offiziellen Website herunterladen (normalerweise, wenn Sie HTTPS verwenden und die Zertifikatsüberprüfung bestanden wird), ist es normalerweise ausreichend, zu überprüfen, ob der Download abgeschlossen ist. Anständige Web-Browser tun die Überprüfung für Sie sowieso, sagen etwas in der Art von "Download fehlgeschlagen", wenn sie nicht die Menge der Daten, die sie erwarten, obwohl ich Browser gesehen habe, die einfach entscheiden, die unvollständige Datei zu behalten, ohne etwas zu sagen an den Benutzer, in diesem Fall könnten Sie die Dateigröße manuell überprüfen.

Natürlich hat die Überprüfung einer Prüfsumme ihren Wert und deckt Sie ab, wenn die heruntergeladene Datei auf dem Server beschädigt ist, aber das passiert nicht allzu oft. Dennoch, wenn Sie Ihren Download für etwas Wichtiges verwenden, ist das ein Schritt wert.

Wie in den Kommentaren von @sudodus gesagt, ist die Verwendung von Bittorrent anstelle von HTTPS eine weitere Option, da Torrent-Clients im Umgang mit unvollständigen / beschädigten Daten wesentlich besser arbeiten als Webbrowser.

Beachten Sie diese Prüfsummen verhindere das nicht wirklich Sie werden angegriffen, dafür ist HTTPS da.


2
2018-01-08 10:21



Die TCP-Prüfsumme ist nicht groß genug für etwas so Großes wie eine ISO-Datei. Es sind nur 16 Bits; Bei einer lauten Verbindung besteht eine gute Chance, dass Korruption durchkommt. - Mark
@Mark für eine große ISO, gibt es viele TCP-Prüfsummen: eine für jedes einzelne TCP-Segment benötigt, um die Daten zu übertragen. - Anthony Geoghegan
@ AnthonyGeoghegan, genau. Jedes Segment hat eine unabhängige Chance, beschädigt zu werden, und wenn man bedenkt, wie viele Segmente in einer ISO-Datei enthalten sind, besteht eine ziemlich gute Chance, dass eine davon auf eine Weise beschädigt wird, die immer noch der Prüfsumme dieses Segments entspricht. - Mark
@Mark können Sie Ihre / proc / net / dev überprüfen und sagen, wie viele schlechte TCP-Frames Sie erhalten haben? Mein Computer hat 0, mit einer Betriebszeit von 140 Tagen. Wenn ich mich nicht irre, bieten zertifizierte Gigabit-Ethernet-Geräte eine Bitfehlerrate von 10 ^ -10 oder besser. Natürlich hängt alles davon ab, was Sie eine "gute Chance" nennen ... - Dmitry Grigoryev
@Mark Welche Art von Schicht 2 verwenden Sie, die keine CRC oder ähnliches hat? Mit Ethernet erhalten Sie CRC-Checks und  die TCP-Prüfsumme. Ich habe das nicht berechnet, aber ich kann nicht sehen, wie Sie dort zu "ziemlich guten Chancen" kommen. - Voo


Ich habe den harten Weg gefunden, das Summieren nicht zu überprüfen. Ich würde eine CD mit einer ISO brennen, die während eines Downloads beschädigt wurde, und konnte es nicht zum Booten bringen oder es hatte Fehler beim Ausführen.

Wie die anderen sagten, braucht es wenig Zeit.


0
2018-01-08 03:43



Das Schlimmste an dieser Erfahrung ist, wenn Sie die ISO erneut brennen, erhalten Sie den gleichen Fehler auf der CD - thomasrutter
Deshalb verwende ich RW CDs und DVDs. :-) - fixit7
Ich habe nie mehr als ein Jahrzehnt eine CD / DVD geschrieben. Nicht die Zeit wert zu schreiben und zu kaufen, wenn es Tonnen von billigen Pendeln gibt - phuclv


Sie sehen es mit nur einem Anwendungsfall, in einem Setup mit Massenautomatisierung hilft es, es verifizieren zu lassen; Skripte, die den Check ausführen, bevor wir fortfahren, was immer wir mit dem Image tun müssen


0
2018-01-09 01:38





Die anderen haben Antworten gegeben mit technischen Details, die ich vergessen habe, obwohl ich ein Programmierer bin (meine Arbeit beinhaltet keine Kommunikation über Netzwerke), also werde ich euch nur eine persönliche Erfahrung mitteilen.

EIN lange Vor einiger Zeit, als ich CDs oft gebrannt habe, ist es mir einmal passiert, dass ich diese Linux-Distributions-ISO heruntergeladen habe, die anscheinend korrekt heruntergeladen wurde. Die CD ist fehlgeschlagen, daher habe ich die heruntergeladene Datei überprüft und nicht gefunden. Also, ich habe es erneut heruntergeladen und es hat funktioniert. Also, das passierte nur einmal in 15 Jahren, seit ich ein fortgeschrittener Computerbenutzer und Programmierer bin (benutze Computer seit dem Alter von 11, vor 19 Jahren, und ich habe mehr als tausend CDs gebrannt). Aber es ist der Beweis, dass es passieren kann.

Es ist mir auch durch BitTorrent ein- oder zweimal passiert, also auch nicht ausfallsicher. Beim Erzwingen der Überprüfung der heruntergeladenen Datei wurde das beschädigte Stück identifiziert.

Meine Schlussfolgerung ist, dass HTTP (basierend auf TCP) so sicher wie möglich ist, aber das Internet bedeutet, dass es Zwischenknoten zwischen Ihrem Gerät und dem Server gibt, und es ist nicht klar, was auf dem Weg passieren kann (Pakete sind sogar verloren) Zeit), und manchmal Computer können nicht sagen, dass die Daten falsch sind, denke ich.

Niemand kann darauf antworten, ob es sich für Sie lohnt - es hängt vom Kontext ab und ich bin mir sicher, dass Sie das selbst beurteilen können. Für mich ist es die meiste Zeit nicht wert. Wenn ich jedoch ein Betriebssystem installieren wollte, würde ich das heruntergeladene Bild vorher überprüfen.

Hinweis: Die Tatsache, dass ich nur ein oder zwei Mal einen korrupten Download bemerkte, bedeutet nicht, dass es dann nur passiert ist. Vielleicht kommt es anderen Zeiten nicht in die Quere, so dass du es nicht merkst.

EDIT: Ich habe sogar andere erfahrenere Programmierer bei der Arbeit (mit sogar einiger Empörung) argumentieren lassen, dass diese Datenintegritätsverifikations-Hashes es möglich machen kennt ob eine Datei Bit-identisch mit dem Original ist, aber ich weiß (ich habe gelesen), dass die Tatsache, dass zwei Dateien zu demselben Hash führen, nicht bedeutet, dass sie identisch sind - es bedeutet nur, dass sie extrem unwahrscheinlich sind. Die Art und Weise, wie sie nützlich sind, ist, dass, wenn Dateien nicht identisch sind, und insbesondere wenn sie sehr unterschiedlich sind, ihre resultierenden Hash-Codes praktisch nie gleich sein werden (es ist noch weniger wahrscheinlich, dass dieser Test fehlschlagen würde). In kleineren Worten - wenn Hash-Codes unterschiedlich sind, wissen Sie, dass die Dateien unterschiedlich sind.


0
2018-01-08 15:46