Warum entspricht das SHA256 des Raspbian-Dateibilds niemals dem auf der Website angegebenen?

10

Jedes Mal, wenn ich Raspbian herunterlade (letztes Mal Raspbian Stretch mit Desktop), versuche ich, SHA256 zu überprüfen. Das Ergebnis unterscheidet sich jedoch jedes Mal von dem auf der Website, obwohl ich ziemlich sicher bin, dass der Download erfolgreich und ohne Manipulation war.

Warum das? Berechne ich falsch?

Das letzte Mal habe ich den sha256 unter OSX mit dem Befehl generiert shasum -a 256 2018-06-27-raspbian-stretch.img

Francesco Boi
quelle
3
Randnotiz - "Ich bin mir ziemlich sicher, dass der Download erfolgreich und ohne Manipulation war." - Nein, bist du nicht.
user253751
2
Wenn Sie den Hash von demselben Kanal erhalten wie die Datei, die überprüft werden soll, handelt es sich tatsächlich nur um eine Prüfsumme (Erkennung einer versehentlichen Beschädigung). Ein Angreifer, der das Bild ersetzen könnte, könnte auch den Hash entsprechend ändern.
Jeffrey Bosboom
@immibis Nein, Sie haben Recht, ich bin nicht bei einer bestimmten Gelegenheit, aber wenn jedes Mal, wenn der sha256 nicht übereinstimmt, ist es wahrscheinlicher, dass etwas nicht stimmt, wie ich es berechne, anstatt dass ich bei jedem Download angegriffen werde, den ich in verschiedenen Situationen mit unterschiedlichen Situationen mache Netzwerke und alles andere ... Zumindest denke ich, sonst müsste ich denken, dass ich jedes Mal angegriffen werde, aber ich bin nicht so paranoid
Francesco Boi

Antworten:

31

Die SHA-256-Prüfsumme auf der Downloadseite bezieht sich auf die ZIP-Datei und nicht auf die IMG-Datei.

Dolch
quelle
Es hat mich verwirrt, weil es so aussieht, als würde OSX die Zip-Datei direkt extrahieren, sodass ich sie nicht als Zip heruntergeladen habe.
Francesco Boi
Sie finden die ZIP-Datei im übergeordneten Ordner des Speicherorts, an den der Inhalt extrahiert wurde. Ich habe auch eine Weile gebraucht, um mich daran zu gewöhnen. :)
Jules
11
Nebenbemerkung: Die angegebenen Prüfsummen beziehen sich im Allgemeinen direkt auf die heruntergeladene Datei und nicht auf Dateien in einem heruntergeladenen Archiv / Container.
Michael Pittino