क्या आधिकारिक वेबसाइट से डाउनलोड किए गए आईएसओ को सत्यापित करना उचित है?


36

मैंने https://www.ubuntu.com/download से आईएसओ डाउनलोड किया , डिफ़ॉल्ट "उबंटू डेस्कटॉप" विकल्प का चयन किया।

वेबसाइट पृष्ठ https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu से लिंक करती है जो ubuntu को सत्यापित करने का निर्देश देती है।

यह बहुत थकाऊ लगता है, और मैं सोच रहा हूं कि यह कितना यथार्थवादी है कि आधिकारिक वेबसाइट से आईएसओ डाउनलोड करने में कोई समस्या है। मैं ध्यान देता हूं कि सत्यापन की प्रक्रिया से मुझे सॉफ्टवेयर डाउनलोड करने की आवश्यकता होती है जो मेरे लिए नया है, इस प्रकार मेरे ऊपर एक और हमले के वेक्टर को पेश करना, यहां तक ​​कि मैं एक और को बंद कर रहा हूं।

इसके लायक क्या है, मैं केवल लाइव यूएसबी का उपयोग करने की योजना बना रहा हूं और पूरी तरह से उबंटू स्थापित करने के लिए नहीं। क्या इससे कुछ अन्तर पड़ता है?


8
मेरा राजनीतिक जवाब है "हाँ, यह करो"। मैंने इसे कभी नहीं किया है सिवाय एक बार पहले डाउनलोड के कई चन्द्रमाओं पर। मैं हमेशा सॉफ्टवेयर या पैच / बग फिक्स को डाउनलोड और मूल्यांकन कर रहा हूं और अतिरिक्त चरणों से परेशान नहीं हो सकता। इसके अलावा मेरे सिस्टम सभी गैर-उत्पादन कर रहे हैं और अगर वे कल "पूफ" जाते हैं तो मैं बस सिकुड़ कर आगे बढ़ जाऊंगा ।
विनयुनुच्स

14
टोरेंट एक विकल्प है, यदि आप md5sum की जांच नहीं करना चाहते हैं। जब आपको टोरेंट के माध्यम से एक फ़ाइल मिलती है, तो यह स्वचालित रूप से जाँच की जाएगी :-) यह अक्सर धार विधि (सामान्य डाउनलोड की तुलना में) का उपयोग करने के लिए तेज़ होता है, लेकिन कुछ इंटरनेट सेवा प्रदाता इसे अवरुद्ध करते हैं क्योंकि उन्हें लगता है कि इसका उपयोग केवल अवैध उद्देश्यों के लिए किया जाता है। ।
सुडोडस sud

2
बड़ी फ़ाइलों पर MD5 चेकसम का प्राथमिक उपयोग, डाउनलोड की गई फ़ाइल की अखंडता सुनिश्चित करने के लिए है (उदाहरण के लिए समय से पहले रद्द किए गए स्थानांतरण का पता लगाने के लिए), MITM हमलों के अवसर को कम करने के लिए नहीं।
रेक्सकोगिटंस

1
@rackandboneman नहीं, यह अंतर्निहित प्रश्न बिल्कुल नहीं है।
डेविड रिचेर्बी

16
मज़ेदार तथ्य: आप शायद इस बात को पूछने में अधिक समय व्यतीत करेंगे कि आपके पूरे जीवन में चेकसम की गणना की गई है।
el.pescado 12

जवाबों:


57

हाँ यह सार्थक है।

एक डाउनलोड किए गए आईएसओ को md5sum / etc में केवल कुछ सेकंड लगते हैं, और यह आपको आश्वस्त करता है कि MITM आदि के द्वारा आप पर हमला नहीं किया गया है, इसके अलावा, यदि आप कुछ बिट त्रुटियों और डिबगिंग आवश्यक थे, तो वे सेकंड [घंटों] के लिए बीमा हैं। आपके डाउनलोड के कारण किसी और की त्रुटि नहीं होती (उदाहरण के लिए, आपके पास नेटवर्क समस्याएँ हैं और इसलिए डिबग करने का प्रयास करें, लेकिन नेटवर्किंग इसलिए भरी जाती है क्योंकि कुछ ही गलतियाँ थीं ...) बहुत सस्ते बीमा के रूप में चेकसम-चेक के बारे में सोचें।

Md5sum के लिए आवश्यक सॉफ्टवेयर किसी अन्य स्रोत से होगा (आमतौर पर एक पुराना संस्करण, यहां तक ​​कि विभिन्न ओएस / डिस्ट्रो)।

इसके अलावा यह मुझे एक स्थानीय दर्पण से डाउनलोड करने की अनुमति देता है, लेकिन क्योंकि मैं Canonical स्रोत से md5sum हड़पता हूं; मेरा बीमा है कि दर्पण इसके साथ नहीं खेलता था। फिर से बहुत सस्ता बीमा जो मुझे ~ 3secs समय का खर्च देता है।


12
हालांकि, यदि डाउनलोड ने HTTPS ट्रांसफर विधि का उपयोग किया है, तो सभी अखंडता जांच पहले ही हो चुकी हैं।
नायुकी

15
@ नोयकी ये अखंडता जांच बेकार होगी यदि फ़ाइल सर्वर पर किसी तरह क्षतिग्रस्त हो जाती है (डिस्क / एफएस-ड्राइवर की विफलता, खराब दर्पण आदि)।
रुस्लान

6
@Nayuki सिर्फ इसलिए कि आप HTTPS पर एक वेब साइट का उपयोग कर रहे हैं, इसका मतलब यह नहीं है कि आपके पीसी से स्टोरेज तक की पूरी लिंक आपके द्वारा डाउनलोड की जा रही फ़ाइल को एन्क्रिप्ट करने के लिए अंत है। कुछ वर्ष पहले Google डेटा केंद्र इंटरलिंक दुर्बलता देखें।
एक CVn

29
यदि किसी के पास MITM है तो ISO, किसके कहने पर जब उन्होंने वेबसाइट पर देखा, तो उन्होंने MITM को चेकसम नहीं किया? (यदि आप एक दर्पण का उपयोग कर रहे हैं, तो यह उपयोगी है।) चेकसम को देखने और उसी इकाई से डाउनलोड करने के लिए यह बहुत दुर्लभ नहीं है।
Lan

13
कभी भी यह अनुमान न लगाएं कि एक चेकसम मितम का पता लगाएगा। दिए गए चेकसम नकली भी हो सकते हैं। हस्ताक्षर को सत्यापित करने का उचित तरीका है , लेकिन इसके लिए जीपीजी की आवश्यकता है (मैंने केवल एक बार ऐसा किया है और यह करने के लिए एक दर्द है)।
जॉनसन

21

हाँ, यह बहुत विश्वसनीय है कि आप अपने द्वारा डाउनलोड की गई छवि को सत्यापित करते हैं, यहाँ कुछ कारण हैं:

  • बस कुछ सेकंड लगते हैं और आपको बता सकते हैं कि क्या फ़ाइल की अखंडता सही है, मेरा मतलब है, फ़ाइल दूषित नहीं है। (तकनीकी कारणों से भ्रष्टाचार का एक सामान्य कारण स्थानांतरण त्रुटि है, जैसे @ फ्लैडस टिप्पणी से एक परतदार इंटरनेट कनेक्शन।)
  • यदि फ़ाइल दूषित है और आप इस ISO छवि को CD / USB ड्राइव में जलाते हैं, और यह काम नहीं करेगा, या स्थापना के दौरान विफल हो सकता है, तो इससे समय और सीडी की बर्बादी होती है।
  • आप सुनिश्चित हैं कि आप किसी भी प्रकार की ISO छवि या सॉफ़्टवेयर के आधिकारिक CLEAN संस्करण का उपयोग कर रहे हैं और संशोधित संस्करण नहीं (शायद हमलावरों द्वारा), इस रिपोर्ट को देखें : डॉग पाइरेट्स स्कर्वी बिटकॉइन-माइनिंग मैलवेयर द्वारा मारा गया

यदि आपके पास पहले से ही एक GNU लिनक्स डिस्ट्रो है , तो आप md5sum का उपयोग कर सकते हैं , यदि आप विंडोज में हैं तो आप उपयोग कर सकते हैं: WinMD5Free

आशा करता हूँ की ये काम करेगा।


3
खिड़कियों के लिए आप बिल्ट-इन certutil: superuser.com/a/898377/521689 का
कांचू

1
मैंने भी उत्तर दिया, लेकिन मैं आपके उत्तर को बढ़ा रहा हूं क्योंकि मुझे लगता है कि यह प्रश्न का भी अच्छी तरह से उत्तर देता है और यह अधिक पाठकों के लिए उपयोगी है क्योंकि यह अन्य उत्तरों की तरह बहुत अधिक तकनीकी विवरणों में नहीं जाता है।
बूलियन

@sudodus Networks की अपनी अखंडता जाँच है। हालांकि उन्हें अतीत में लाने के लिए त्रुटियों के लिए असंभव नहीं है (टीसीपी केवल एक साधारण चेकसम का उपयोग करता है, जो शब्द स्वैप का पता नहीं लगाएगा, लेकिन अधिकांश लिंक सीआरसी का उपयोग करते हैं), यह ऐसी चीज नहीं है जिसके बारे में आमतौर पर चिंता होती है।
बरमार

यदि कोई हमलावर किसी फ़ाइल को दूषित करने में सक्षम है, तो MD5 बॉक्स में मूल्य बदलना भी पहुंच के भीतर होना चाहिए, हालांकि।
पास्कल एंगेलर

2

हाँ, यह है, लेकिन उबंटू इसे जितना कठिन होना चाहिए, उससे कहीं अधिक कठिन है।

सबसे अच्छा मामले में आप बस एक बार आयात करने के बाद foo.iso और foo.iso.sig डाउनलोड करेंगे और .sig फ़ाइल (या .sig फ़ाइल पर शेल पर gpg का उपयोग करें) पर क्लिक करें। इसमें कुछ सेकंड का खर्च आता है।

Ubuntu एक फ़ाइल से sha256 रकम की जाँच करने के लिए मजबूर करके इसे और अधिक जटिल बनाता है, जबकि केवल फ़ाइल ही हस्ताक्षरित है। यह उनके लिए सुविधाजनक है, लेकिन अपने उपयोगकर्ताओं के लिए अधिक काम करता है।

दूसरी ओर, जब फ़ाइल बस द्वारा उत्पन्न की गई थी sha256sum * >SHA256SUMS, तो आप इसका उपयोग करके जांच कर सकते हैं sha256 -cऔर OK/Bad/Not-Foundआउटपुट के रूप में प्राप्त कर सकते हैं ।


2

अपनी जाँच करें /proc/net/devऔर देखें कि आपने अब तक कितने बुरे टीसीपी फ्रेम प्राप्त किए हैं। यदि आप एकल-अंक मान (उम्मीद से शून्य) देखते हैं, तो पढ़ें। यदि आपके पास बहुत सी या नेटवर्क त्रुटियां हैं, तो सभी माध्यमों से अपने डाउनलोडों को सत्यापित करने के लिए एमडी 5 का उपयोग करें (हालांकि मैं मूल कारणों की जांच करूंगा, क्योंकि अविश्वसनीय नेटवर्क का मतलब है कि आप HTTP के माध्यम से प्राप्त किसी भी चीज पर भरोसा नहीं कर सकते हैं)।

जब आप TCP पर डाउनलोड कर रहे हैं जो सभी प्रेषित डेटा को चेक करता है, तो एक ही आकार के साथ एक भ्रष्ट डाउनलोड होने की बहुत कम संभावना है। यदि आप आश्वस्त हैं कि आप आधिकारिक साइट से डाउनलोड कर रहे हैं (आप सामान्य रूप से यदि आप HTTPS और प्रमाणपत्र चेक पास का उपयोग कर रहे हैं), तो यह सत्यापित करते हुए कि आपका डाउनलोड पूरा हो गया है सामान्य रूप से पर्याप्त है। डिसेंट वेब ब्राउज़र आमतौर पर आपके लिए वैसे भी चेक करते हैं, "डाउनलोड फ़ेल" की तर्ज पर कुछ कह रहे हैं, अगर उन्हें अपेक्षित डेटा नहीं मिलता है, हालाँकि मैंने ऐसे ब्राउज़र देखे हैं जो बिना कुछ कहे अधूरी फाइल रखने का निर्णय लेते हैं उपयोगकर्ता के लिए, जिस स्थिति में आप फ़ाइल का आकार मैन्युअल रूप से जाँच सकते हैं।

बेशक, एक चेकसम को सत्यापित करने का अभी भी अपना मूल्य है, आपको उन मामलों में कवर करता है जहां आप जिस फ़ाइल को डाउनलोड कर रहे हैं वह सर्वर पर भ्रष्ट है, लेकिन ऐसा अक्सर नहीं होता है। फिर भी, यदि आप कुछ महत्वपूर्ण के लिए अपने डाउनलोड का उपयोग करने जा रहे हैं, तो यह एक कदम उठाने लायक है।

जैसा कि @sudodus ने टिप्पणियों में कहा, HTTPS के बजाय बिटोरेंट का उपयोग करना एक अन्य विकल्प है, क्योंकि वेब ब्राउज़र के रूप में अपूर्ण / भ्रष्ट डेटा से निपटने के दौरान टोरेंट क्लाइंट बहुत बेहतर काम करते हैं।

ध्यान दें कि चेकसम वास्तव में आपको हमला करने से नहीं रोकता है , यही एचटीटीपीएस है।


5
टीसीपी चेकसम एक आईएसओ फाइल के रूप में कुछ के लिए काफी बड़ा नहीं है। यह केवल 16 बिट्स है; एक शोर लिंक पर, एक अच्छा मौका है जो कुछ भ्रष्टाचार के माध्यम से मिला है।
मार्क

1
@ एक बड़ी आईएसओ के लिए, कई टीसीपी चेकसम होंगे: डेटा को प्रसारित करने के लिए आवश्यक प्रत्येक व्यक्तिगत टीसीपी सेगमेंट के लिए एक।
एंथनी जी -

3
@AnthonyGeoghegan, बिल्कुल। प्रत्येक सेगमेंट में भ्रष्ट होने का एक स्वतंत्र मौका है, और यह देखते हुए कि आईएसओ फाइल में कितने सेगमेंट शामिल हैं, एक बहुत अच्छा मौका है कि उनमें से एक को इस तरह से भ्रष्ट कर दिया जाएगा जो अभी भी उस सेगमेंट के चेकसम से मेल खाता है।
मार्क

1
@ मर्क आप अपने / प्रोक / नेट / देव की जांच कर सकते हैं और बता सकते हैं कि आपको कितने बुरे टीसीपी फ्रेम मिले हैं? मेरे कंप्यूटर को 0 मिला, जिसमें 140 दिनों का समय था। अगर मैं गलत नहीं हूं, तो प्रमाणित गीगाबिट ईथरनेट उपकरण 10 ^ -10 या बेहतर की बिट त्रुटि दर प्रदान करता है। बेशक, यह सब उस पर निर्भर करता है जिसे आप "अच्छा मौका" कहते हैं ...
दिमित्री ग्रिगोरीव

1
@ मार्क आप किस तरह की लेयर 2 का उपयोग कर रहे हैं जिसमें सीआरसी या समान नहीं है? ईथरनेट के साथ आपको सीआरसी चेक और टीसीपी चेकसम मिलता है। उस एक के लिए गणित नहीं किया है, लेकिन मैं नहीं देख सकता कि आप "बहुत अच्छे मौके" पर कैसे पहुंचे।
वू

0

मुझे संक्षेप में जांच नहीं करने के बारे में पता चला। मैं एक आईएसओ के साथ एक सीडी को जलाऊंगा जो एक डाउनलोड के दौरान दूषित हो गया था, और इसे बूट करने के लिए नहीं मिल सकता था या इसे चलाते समय त्रुटियां थीं।

जैसा दूसरों ने कहा, इसमें बहुत कम समय लगता है।


उस अनुभव के बारे में सबसे बुरी बात यह है कि यदि आप फिर से आईएसओ जलाते हैं, तो आपको सीडी पर वही त्रुटि
मिलती है

1
इसलिए मैं आरडब्ल्यू सीडी और डीवीडी का उपयोग करता हूं। :-)
फिक्सिट

7
मैंने एक दशक से अधिक के लिए कभी कोई सीडी / डीवीडी नहीं लिखा है। लिखने का समय और खरीदने के लिए लागत के लायक नहीं है जब सस्ते
पेंड्रियों के

0

आप इसे केवल एक उपयोग के मामले के साथ देख रहे हैं, बड़े पैमाने पर स्वचालन के साथ एक सेट में यह सत्यापित करने में मदद करता है; स्क्रिप्ट जो चेक को चलाती हैं, हमें कभी भी छवि के साथ क्या करने की आवश्यकता है, आगे बढ़ने से पहले


0

दूसरों ने तकनीकी विवरणों के साथ उत्तर दिए हैं कि मैं भूल गया था हालांकि मैं एक प्रोग्रामर हूं (मेरा काम नेटवर्क पर संचार शामिल नहीं करता है), इसलिए मैं आपको एक व्यक्तिगत अनुभव बताने जा रहा हूं।

एक लंबे समय पहले, जब मैं अक्सर सीडी को जलाने के लिए इस्तेमाल किया, यह एक बार करने के लिए मुझे इस Linux वितरण आईएसओ जो सही ढंग से डाउनलोड किया है को दिखाई डाउनलोड किया हुआ। सीडी ने मुझे विफल कर दिया, इसलिए मैंने डाउनलोड की गई फ़ाइल की जांच की और यह मेल नहीं खाता। तो, मैं फिर से डाउनलोड किया और यह काम किया। इसलिए, यह केवल 15 वर्षों में एक बार हुआ है क्योंकि मैं एक उन्नत कंप्यूटर उपयोगकर्ता और प्रोग्रामिंग रहा हूं (11 साल की उम्र से कंप्यूटर का उपयोग कर रहा हूं, 19 साल पहले, और मैंने एक हजार से अधिक डिस्क जला दिया है)। लेकिन यह सबूत है कि ऐसा हो सकता है।

यह एक या दो बार बिटटोरेंट के माध्यम से मेरे साथ भी हुआ, इसलिए यह विफल नहीं है। जब डाउनलोड की गई फ़ाइल को फिर से जाँचने के लिए, उसने भ्रष्ट टुकड़े की पहचान की।

मेरा निष्कर्ष HTTP (टीसीपी पर निर्भर है) जितना हो सकता है उतना सुरक्षित हो सकता है, लेकिन इंटरनेट का मतलब है कि आपके डिवाइस और सर्वर के बीच मध्यस्थ नोड्स हैं, और रास्ते में क्या हो सकता है, यह बताने वाला कोई भी नहीं है (पैकेट भी खो गए हैं समय), और कभी-कभी कंप्यूटर यह नहीं बता सकते कि डेटा गलत है मुझे लगता है।

कोई भी जवाब नहीं दे सकता है कि क्या यह आपके लिए परेशानी का कारण होगा - यह संदर्भ पर निर्भर करता है और मुझे यकीन है कि आप अपने लिए न्याय कर सकते हैं। मेरे लिए, यह ज्यादातर समय के लायक नहीं है। अगर मैं एक ओएस स्थापित करने जा रहा था, तो मैं पहले डाउनलोड की गई छवि की जांच करूंगा।

नोट: तथ्य यह है कि मैं केवल एक या दो बार एक भ्रष्ट डाउनलोड देखा है इसका मतलब यह नहीं है कि यह तब हुआ। हो सकता है कि दूसरी बार यह उस तरह से न मिले जिससे आप ध्यान न दें।

संपादित करें: मेरे पास काम के तर्क पर अन्य अनुभवी प्रोग्रामर भी थे (काफी आक्रोश के साथ भी) कि इन डेटा अखंडता सत्यापन hashes से यह जानना संभव है कि क्या कोई फ़ाइल मूल के समान है, लेकिन मुझे पता है (मैंने पढ़ा है) तथ्य यह है कि दो फाइलें एक ही हैश में परिणाम का मतलब यह नहीं है कि वे समान हैं - इसका मतलब यह है कि यह बहुत संभावना नहीं है कि वे अलग हैं। जिस तरह से वे उपयोगी हैं वह यह है कि जब फाइलें समान नहीं होती हैं, और विशेष रूप से जब वे बहुत भिन्न होते हैं, तो उनके परिणामस्वरूप हैश कोड व्यावहारिक रूप से कभी भी समान नहीं होंगे (यह इस परीक्षण के विफल होने की संभावना भी कम है)। कम शब्दों में - यदि हैश कोड अलग हैं, तो आप जानते हैं कि फाइलें अलग हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.