Lohnt es sich, ISOs zu überprüfen, die von der offiziellen Website heruntergeladen wurden?

36

Ich habe die ISO von https://www.ubuntu.com/download heruntergeladen und die Standardoption "Ubuntu Desktop" ausgewählt.

Die Website verlinkt die Seite https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu, auf der Anweisungen zum Überprüfen von Ubuntu angegeben sind.

Dies scheint ziemlich langweilig zu sein, und ich frage mich, wie realistisch es ist, dass ein Problem mit der von der offiziellen Website heruntergeladenen ISO vorliegt. Ich stelle fest, dass ich für die eigentliche Überprüfung Software herunterladen muss, die für mich neu ist, wodurch ein weiterer Angriffsvektor auf mich ausgeübt wird, auch wenn ich gerade einen anderen schließe.

Für das, was es wert ist, plane ich, nur Live-USB zu verwenden und Ubuntu nicht vollständig zu installieren. Macht das einen Unterschied?

system-installation iso user1205901 - Setzen Sie Monica wieder ein
quelle
8
Meine politische Antwort lautet "JA, TUN SIE ES". Ich habe es nie getan, außer vielleicht einmal beim ersten Download vor vielen Monden. Ich lade immer Software oder Patches / Bugfixes herunter und bewerte sie. Die zusätzlichen Schritte machen mir nichts aus. Außerdem sind meine Systeme alle nicht in Produktion, und wenn sie morgen "doof" werden, würde ich nur mit den Schultern zucken und weitermachen .
WinEunuuchs2Unix
14
Torrent ist eine Alternative, wenn Sie die md5sum nicht überprüfen möchten. Wenn Sie eine Datei über einen Torrent erhalten, wird diese automatisch überprüft :-) Die Torrent-Methode ist häufig schneller (im Vergleich zu normalen Downloads), aber einige Internetdienstanbieter blockieren sie, weil sie der Meinung sind, dass sie nur für illegale Zwecke verwendet wird .
Sudodus
2
Die primäre Verwendung von MD5-Prüfsummen für große Dateien besteht darin, die Integrität der heruntergeladenen Datei sicherzustellen (z. B. um zu erkennen, ob die Übertragung vorzeitig abgebrochen wurde), und die Wahrscheinlichkeit von MITM-Angriffen nicht zu verringern.
rexkogitans
1
@rackandboneman Nein, das ist überhaupt nicht die zugrunde liegende Frage.
David Richerby
16
Eine lustige Tatsache: Sie werden wahrscheinlich mehr Zeit damit verbringen, diese Frage zu stellen, als in Ihrem ganzen Leben Prüfsummen zu berechnen.
El.pescado

Antworten:

57

Ja, es lohnt sich.

Es dauert nur Sekunden, bis md5sum / etc eine heruntergeladene ISO erstellt hat, und es gibt Ihnen die Gewissheit, dass Sie nicht von MITM angegriffen wurden Verfolgen von Fehlern, die niemand sonst aufgrund Ihres Downloads bekommt (z. B. Sie haben Netzwerkprobleme und versuchen, Fehler zu beheben; das Netzwerk ist jedoch voll, da dies die wenigen Fehler waren ...). Stellen Sie sich Checksummen-Checks als sehr billige Versicherung vor.

Die Software, die benötigt wird, um etwas zu md5sum, stammt normalerweise aus einer anderen Quelle (eine ältere Version, manchmal sogar eine andere OS / Distribution), ist sehr klein und ist für viele / die meisten von uns bereits vorhanden.

Weiterhin erlaubt es mir, von einem lokalen Spiegel herunterzuladen, aber weil ich die md5sum von der Canonical-Quelle nehme; Ich habe versichert, dass der Spiegel nicht damit gespielt hat. Wieder eine sehr günstige Versicherung, die mich ~ 3 Sekunden Zeit kostet.

guiverc
quelle
12
Wenn für den Download jedoch die HTTPS-Übertragungsmethode verwendet wurde, wurden bereits alle Integritätsprüfungen durchgeführt.
Nayuki
15
@Nayuki diese Integritätsprüfungen wären wertlos, wenn die Datei auf dem Server irgendwie beschädigt ist (Festplatten- / FS-Treiberfehler, schlechte Spiegelung etc.).
Ruslan
6
@Nayuki Nur weil Sie über HTTPS auf eine Website zugreifen, bedeutet dies nicht, dass der gesamte Link von Ihrem PC zu dem Speicher, in dem sich die heruntergeladene Datei befindet, durchgehend verschlüsselt ist. Sehen Sie sich das Debakel über Interlinks im Rechenzentrum von Google vor einigen Jahren an.
ein Lebenslauf am
29
Wenn jemand MITM hat, hat er dann die Prüfsumme nicht MITM, als Sie sie auf der Website angesehen haben? (Wenn Sie einen Spiegel verwenden, ist dies nützlich.) Es ist nicht allzu selten, dass Prüfsumme und Download von derselben Entität bereitgestellt werden.
Lan
13
Gehen Sie NIEMALS davon aus, dass eine Prüfsumme MitM erkennt. Die angegebenen Prüfsummen können auch falsch sein. Der richtige Weg ist, die Signatur zu verifizieren , aber dafür ist GPG erforderlich (ich habe das nur einmal gemacht und es ist mühsam).
Micheal Johnson
21

Ja, es wird SEHR EMPFOHLEN , das heruntergeladene Bild zu überprüfen. Hier einige Gründe:

  • Dauert nur ein paar Sekunden und kann Ihnen sagen, ob die Integrität der Datei korrekt ist, ich meine, die Datei ist nicht beschädigt. (Eine häufige Ursache für Korruption ist ein Übertragungsfehler, der auf technische Gründe zurückzuführen ist, z. B. eine unzuverlässige Internetverbindung von @sudodus comment.)
  • Wenn die Datei beschädigt ist und Sie dieses ISO-Image auf ein CD- / USB-Laufwerk brennen und es nicht funktioniert oder während einer Installation ein Fehler auftritt, werden Zeit und CDs verschwendet.
  • Sie sind sicher, dass Sie die offizielle CLEAN-Version eines ISO-Images oder einer ISO-Software verwenden und keine modifizierte Version (möglicherweise von Angreifern). Weitere Informationen finden Sie in diesem Bericht: Watch Dogs-Piraten, die von skrupelloser Bitcoin-Mining-Malware betroffen sind

Wenn Sie bereits eine GNU Linux-Distribution haben, können Sie md5sum verwenden . Wenn Sie Windows verwenden, können Sie Folgendes verwenden: WinMD5Free .

Ich hoffe es hilft.

Galoget
quelle
3
Für Fenster können Sie die Einbau-verwenden certutil: superuser.com/a/898377/521689
Kanchu
1
Ich habe auch geantwortet, aber ich stimme Ihrer Antwort zu, weil ich der Meinung bin, dass sie die Frage auch gut beantwortet und es für mehr Leser nützlich ist, da sie nicht wie die anderen Antworten auf zu technische Details eingeht.
Bitoolean
@sudodus Networks haben ihre eigenen Integritätsprüfungen. Es ist zwar nicht unmöglich, dass Fehler an ihnen vorbeikommen (TCP verwendet nur eine einfache Prüfsumme, die keine Wortwechsel erkennt, aber die meisten Links verwenden CRC), aber es ist nicht etwas, worüber man sich im Allgemeinen Sorgen macht.
Barmar
Wenn ein Angreifer in der Lage ist, eine Datei zu beschädigen, sollte das Ändern des Werts in einer MD5-Box ebenfalls in Reichweite sein.
Pascal Engeler
2

Ja, aber Ubuntu scheint es schwieriger zu machen, als es sein sollte.

Im besten Fall laden Sie einfach foo.iso und foo.iso.sig herunter und klicken auf die .sig-Datei (oder verwenden Sie gpg in der Shell für die .sig-Datei), nachdem Sie den Schlüssel einmal importiert haben. Das kostet ein paar Sekunden.

Ubuntu scheint es komplizierter zu machen, indem es Sie zwingt, die sha256-Summen aus einer Datei zu prüfen, während nur die Datei selbst signiert ist. Das ist praktisch für sie, aber mehr Arbeit für ihre Benutzer.

Wenn die Datei jedoch nur von generiert wurde sha256sum * >SHA256SUMS, können Sie sie mit prüfen sha256 -cund OK/Bad/Not-Foundals Ausgabe abrufen.

allo
quelle
2

Überprüfen Sie Ihre /proc/net/devund sehen Sie, wie viele fehlerhafte TCP-Frames Sie bisher erhalten haben. Wenn Sie einen einstelligen Wert sehen (hoffentlich eine Null), lesen Sie weiter. Wenn Sie viele oder Netzwerkfehler haben, verwenden Sie auf jeden Fall MD5, um Ihre Downloads zu überprüfen (obwohl ich lieber die Grundursache untersuchen würde, da unzuverlässiges Netzwerk bedeutet, dass Sie nichts vertrauen können, was Sie über HTTP erhalten).

Wenn Sie über TCP herunterladen, bei dem alle übertragenen Daten als Prüfsumme verwendet werden, ist die Wahrscheinlichkeit eines fehlerhaften Downloads mit genau derselben Größe sehr gering. Wenn Sie sicher sind, dass Sie von der offiziellen Website herunterladen (normalerweise, wenn Sie HTTPS verwenden und die Zertifikatsüberprüfung besteht), reicht es normalerweise aus, zu überprüfen, ob der Download abgeschlossen ist. Anständige Webbrowser erledigen normalerweise die Prüfung für Sie und sagen etwas in der Art von "Download fehlgeschlagen", wenn sie nicht die erwartete Datenmenge erhalten, obwohl ich Browser gesehen habe, die nur beschließen, die unvollständige Datei beizubehalten, ohne etwas zu sagen In diesem Fall können Sie die Dateigröße manuell überprüfen.

Die Überprüfung einer Prüfsumme hat natürlich immer noch ihren Wert und deckt Sie in Fällen ab, in denen die heruntergeladene Datei auf dem Server beschädigt ist, aber das kommt nicht allzu oft vor. Wenn Sie Ihren Download jedoch für etwas Wichtiges verwenden möchten, ist dies einen Schritt wert.

Wie @sudodus in den Kommentaren sagte, ist die Verwendung von Bittorrent anstelle von HTTPS eine weitere Option, da Torrent-Clients im Umgang mit unvollständigen / beschädigten Daten einen viel besseren Job machen als Webbrowser.

Beachten Sie, dass Prüfsummen nicht wirklich verhindern , dass Sie angegriffen werden. Dafür ist HTTPS gedacht.

Dmitry Grigoryev
quelle
5
Die TCP-Prüfsumme ist nicht groß genug für eine ISO-Datei. Es sind nur 16 Bits; Bei einer lauten Verbindung besteht eine gute Chance, dass ein Teil der Korruption durchgekommen ist.
Mark
1
Bei einem großen ISO-Wert gibt es viele TCP-Prüfsummen: eine für jedes einzelne TCP-Segment, das zur Übertragung der Daten erforderlich ist.
Anthony G - Gerechtigkeit für Monica
3
@AnthonyGeoghegan, genau. Jedes Segment hat eine unabhängige Chance, beschädigt zu werden, und wenn man bedenkt, wie viele Segmente an einer ISO-Datei beteiligt sind, besteht eine ziemlich gute Chance, dass eines von ihnen auf eine Weise beschädigt wird, die immer noch mit der Prüfsumme dieses Segments übereinstimmt.
Mark
1
@Mark können Sie in Ihrem / proc / net / dev nachsehen, wie viele fehlerhafte TCP-Frames Sie erhalten haben? Mein Computer hat 0 mit einer Betriebszeit von 140 Tagen. Wenn ich mich nicht irre, bieten zertifizierte Gigabit-Ethernet-Geräte eine Bitfehlerrate von 10 ^ -10 oder besser. Natürlich hängt alles davon ab, was Sie eine "gute Chance" nennen ...
Dmitry Grigoryev
1
@Mark Was für eine Schicht 2 verwenden Sie, die keinen CRC oder ähnliches hat? Mit Ethernet erhalten Sie CRC-Checks und die TCP-Checksumme. Ich habe noch nicht nachgerechnet, aber ich kann nicht sehen, wie Sie dort zu "ziemlich guten Chancen" kommen.
Voo
0

Ich fand heraus, wie schwierig es ist, die Summe nicht zu überprüfen. Ich habe eine CD mit einer ISO-Datei gebrannt, die während eines Downloads beschädigt wurde. Sie konnte nicht gebootet werden, oder es gab Fehler beim Ausführen.

Wie die anderen sagten, dauert es wenig Zeit.

fixit7
quelle
Das Schlimmste an dieser Erfahrung ist, wenn Sie die ISO erneut brennen, erhalten Sie denselben Fehler auf der CD
Thomasrutter
1
Deshalb benutze ich RW-CDs und DVDs. :-)
fixit7
7
Ich habe seit mehr als einem Jahrzehnt keine CD / DVD mehr geschrieben. Lohnt sich nicht die Zeit zu schreiben und kostet zu kaufen, wenn es Tonnen von billigen Pendrives gibt
phuclv
0

Sie sehen es mit nur einem Anwendungsfall, in einer Einrichtung mit Massenautomatisierung hilft es, es überprüfen zu lassen; Skripte, die die Prüfung ausführen, bevor Sie mit den erforderlichen Schritten für das Image fortfahren

ajax_velu
quelle
0

Die anderen haben Antworten mit technischen Details gegeben, die ich vergessen habe, obwohl ich ein Programmierer bin (meine Arbeit beinhaltet keine Kommunikation über Netzwerke), also werde ich Sie nur über eine persönliche Erfahrung informieren.

Vor langer Zeit, als ich häufig CDs brannte, hatte ich einmal die Linux-Distributions-ISO heruntergeladen, die anscheinend korrekt heruntergeladen worden war. Die CD ist mir nicht gelungen, also habe ich die heruntergeladene Datei überprüft und sie stimmt nicht überein. Also habe ich nochmal runtergeladen und es hat funktioniert. Dies geschah also nur einmal in 15 Jahren, seit ich ein fortgeschrittener Computerbenutzer und Programmierer bin (ich benutze Computer seit dem Alter von 11, 19 Jahren und habe mehr als tausend Discs gebrannt). Aber es ist ein Beweis dafür, dass es passieren kann.

Es ist mir auch ein- oder zweimal durch BitTorrent passiert, das ist also auch nicht ausfallsicher. Beim Erzwingen einer erneuten Überprüfung der heruntergeladenen Datei wurde das beschädigte Teil identifiziert.

Mein Fazit ist, dass HTTP (basierend auf TCP) zwar so sicher wie möglich ist, aber das Internet bedeutet, dass es zwischen Ihrem Gerät und dem Server Zwischenknoten gibt und nicht absehbar ist, was auf dem Weg passieren kann (Pakete gehen sogar vollständig verloren) Zeit), und manchmal können Computer nicht sagen, dass die Daten falsch sind, denke ich.

Niemand kann antworten, ob es sich für Sie lohnen würde - es hängt vom Kontext ab und ich bin sicher, dass Sie das selbst beurteilen können. Für mich ist es die meiste Zeit nicht wert. Wenn ich allerdings ein Betriebssystem installieren würde, würde ich das heruntergeladene Image vorher überprüfen.

Hinweis: Die Tatsache, dass ich nur ein- oder zweimal einen beschädigten Download bemerkt habe, bedeutet nicht, dass dies erst dann passiert ist. Vielleicht wird es ein andermal nicht störend, so dass Sie es nicht bemerken.

EDIT: Ich hatte sogar andere erfahrene Programmierer bei der Arbeit, die (sogar mit einiger Empörung) argumentierten, dass diese Hashes zur Überprüfung der Datenintegrität es ermöglichen zu wissen, ob eine Datei mit dem Original bitidentisch ist, aber ich weiß (ich habe gelesen), dass Die Tatsache, dass zwei Dateien den gleichen Hash ergeben, bedeutet nicht, dass sie identisch sind - es bedeutet nur, dass es äußerst unwahrscheinlich ist, dass sie sich unterscheiden. Die Art und Weise, wie sie nützlich sind, ist, dass wenn Dateien nicht identisch sind und insbesondere wenn sie sehr unterschiedlich sind, die resultierenden Hash-Codes praktisch nie gleich sind (es ist sogar noch unwahrscheinlicher, dass dieser Test fehlschlägt). In weniger Worten - wenn Hash-Codes unterschiedlich sind, wissen Sie, dass die Dateien unterschiedlich sind.

bitoolean
quelle