Apakah memverifikasi ISO diunduh dari situs web resmi bermanfaat?

37

Saya mengunduh ISO dari https://www.ubuntu.com/download , memilih opsi "Ubuntu Desktop" default.

Situs web menautkan laman https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu yang memberikan petunjuk cara memverifikasi ubuntu.

Ini sepertinya cukup membosankan, dan saya bertanya-tanya seberapa realistiskah masalah ini dengan ISO yang diunduh dari situs web resmi. Saya perhatikan bahwa proses verifikasi itu sendiri mengharuskan saya untuk mengunduh perangkat lunak yang baru bagi saya, sehingga memperkenalkan vektor serangan lain pada saya bahkan ketika saya menutup yang lain.

Untuk apa nilainya, saya berencana untuk menggunakan Live USB saja dan tidak sepenuhnya menginstal Ubuntu. Apakah itu membuat perbedaan?

user1205901 - Pasang kembali Monica
sumber
8
Jawaban politik saya adalah "YA, LAKUKAN ITU". Saya belum pernah melakukannya kecuali mungkin sekali pada unduhan pertama beberapa bulan yang lalu. Saya selalu mengunduh dan mengevaluasi perangkat lunak atau perbaikan tambalan / bug dan tidak dapat diganggu dengan langkah-langkah tambahan. Ditambah sistem saya semua non-produksi dan jika mereka pergi "puf" besok saya hanya akan mengangkat bahu dan melanjutkan.
WinEunuuchs2Unix
14
Torrent adalah alternatif, jika Anda tidak ingin memeriksa md5sum. Ketika Anda mendapatkan file melalui torrent, itu akan diperiksa secara otomatis :-) Sering kali lebih cepat menggunakan metode torrent (dibandingkan dengan unduhan biasa), tetapi beberapa penyedia layanan internet memblokirnya karena mereka berpikir bahwa itu hanya digunakan untuk tujuan ilegal .
sudodus
2
Penggunaan utama checksum MD5 pada file besar adalah untuk memastikan integritas file yang diunduh (misalnya untuk mendeteksi jika transfer dibatalkan sebelum waktunya), bukan untuk mengurangi kemungkinan serangan MITM.
rexkogitans
1
@ crackandboneman Tidak, itu bukan pertanyaan mendasar sama sekali.
David Richerby
16
Fakta menyenangkan: Anda mungkin akan menghabiskan lebih banyak waktu untuk mengajukan pertanyaan ini daripada menghitung checksum dalam seluruh hidup Anda.
el.pescado

Jawaban:

57

Ya itu bermanfaat.

Hanya perlu beberapa detik untuk md5sum / etc ISO yang diunduh, dan memberikan jaminan Anda tidak diserang oleh MITM dll. Selain itu, detik-detik itu adalah asuransi untuk [jam] waktu yang terbuang jika Anda memiliki sedikit kesalahan dan diperlukan debugging Mengejar kesalahan tidak ada yang mendapat karena unduhan Anda (mis. Anda memiliki masalah jaringan & jadi coba debug; tetapi jaringan diisi karena itulah yang menyebabkan kesalahan bit ...) Pikirkan checksum-checks sebagai asuransi yang sangat murah.

Perangkat lunak yang diperlukan untuk md5sum sesuatu akan berasal dari sumber lain biasanya (versi yang lebih tua, bahkan berbeda os / distro pada kesempatan), sangat kecil dan sudah ada bagi banyak / kebanyakan dari kita.

Lebih lanjut itu memungkinkan saya untuk mengunduh dari mirror lokal, tetapi karena saya mengambil md5sum dari sumber Canonical; Saya sudah mengasuransikan bahwa cermin tidak bermain dengannya. Sekali lagi asuransi yang sangat murah yang menghabiskan biaya saya ~ 3 detik.

guiverc
sumber
12
Namun, jika unduhan menggunakan metode transfer HTTPS, maka semua pemeriksaan integritas telah dilakukan.
Nayuki
15
@Nayuki pemeriksaan integritas ini tidak ada gunanya jika file rusak di server (kegagalan disk / driver-FS, mirroring dll.).
Ruslan
6
@Nayuki Hanya karena Anda mengakses situs web melalui HTTPS tidak berarti seluruh tautan dari PC Anda ke penyimpanan yang menyimpan file yang Anda unduh adalah ujung ke ujung yang dienkripsi. Lihat bencana antar data pusat data Google beberapa tahun yang lalu.
CVn
30
Jika seseorang memiliki MITM dari ISO, yang mengatakan bahwa mereka tidak MITM checksum ketika Anda melihatnya di situs web? (Jika Anda menggunakan mirror, ini berguna.) Tidak terlalu jarang untuk melihat checksum dan unduhan yang disajikan dari entitas yang sama.
Lan
14
JANGAN PERNAH membuat asumsi bahwa sebuah checksum akan mendeteksi MitM. Checksum yang diberikan bisa jadi palsu juga. Cara yang tepat adalah memverifikasi tanda tangan , tetapi itu membutuhkan GPG (saya hanya melakukan ini sekali dan ini menyebalkan).
Micheal Johnson
21

Ya, SANGAT DIANJURKAN agar Anda memverifikasi gambar yang Anda unduh, berikut adalah beberapa alasan:

  • Hanya perlu beberapa detik dan dapat memberi tahu Anda apakah integritas file sudah benar, maksud saya, file tersebut tidak rusak. (Penyebab umum korupsi adalah kesalahan transfer karena alasan teknis seperti koneksi internet yang rapuh dari komentar @sudodus.)
  • Jika file rusak dan Anda membakar image ISO ini ke dalam drive CD / USB, dan itu tidak akan berfungsi, atau selama instalasi bisa gagal, ini menghasilkan buang-buang waktu dan CD.
  • Anda yakin bahwa Anda menggunakan versi BERSIH resmi dari segala jenis gambar atau perangkat lunak ISO dan bukan versi modifikasi (mungkin oleh penyerang), lihat laporan ini: Bajak laut Watch Dogs terkena scurvy malware penambangan Bitcoin

Jika Anda sudah memiliki distro GNU Linux, Anda dapat menggunakan md5sum , jika Anda menggunakan Windows, Anda dapat menggunakan: WinMD5Free .

Semoga ini bisa membantu.

galoget
sumber
3
Untuk windows Anda dapat menggunakan built-in certutil: superuser.com/a/898377/521689
Kanchu
1
Saya juga menjawab, tetapi saya memperbaiki jawaban Anda karena saya merasa itu menjawab pertanyaan dengan baik juga dan ini berguna bagi lebih banyak pembaca karena tidak masuk ke rincian terlalu teknis seperti jawaban lainnya.
bitoolean
@sudodus Networks memiliki pemeriksaan integritasnya sendiri. Meskipun bukan tidak mungkin kesalahan untuk melewati mereka (TCP hanya menggunakan checksum sederhana, yang tidak akan mendeteksi swap kata, tetapi sebagian besar tautan menggunakan CRC), itu bukan sesuatu yang umumnya dikhawatirkan.
Barmar
Jika penyerang dapat merusak file, mengubah nilai dalam kotak MD5 juga harus dalam jangkauan.
Pascal Engeler
2

Ya, tapi Ubuntu tampaknya membuatnya lebih sulit dari yang seharusnya.

Dalam kasus terbaik Anda hanya perlu mengunduh foo.iso dan foo.iso.sig dan klik file .sig (atau gunakan gpg pada shell pada file .sig) setelah Anda mengimpor kunci satu kali. Ini membutuhkan beberapa detik.

Ubuntu tampaknya membuatnya lebih rumit dengan memaksa Anda untuk memeriksa jumlah sha256 dari suatu file sementara hanya file itu sendiri yang ditandatangani. Itu nyaman bagi mereka, tetapi lebih banyak pekerjaan untuk pengguna mereka.

Di sisi lain, ketika file dihasilkan oleh sha256sum * >SHA256SUMS, Anda dapat memeriksanya menggunakan sha256 -cdan mendapatkan OK/Bad/Not-Foundsebagai output.

allo
sumber
2

Periksa /proc/net/devdan lihat berapa banyak frame TCP buruk yang telah Anda terima sejauh ini. Jika Anda melihat nilai satu digit (semoga nol), baca terus. Jika Anda memiliki banyak kesalahan jaringan, maka gunakan MD5 untuk memverifikasi unduhan Anda (meskipun saya lebih suka menyelidiki akar penyebabnya, karena jaringan yang tidak dapat diandalkan berarti Anda tidak bisa mempercayai apa pun yang Anda terima melalui HTTP).

Saat Anda mengunduh melalui TCP yang memeriksa semua data yang dikirimkan, sangat kecil peluang untuk mengunduh yang rusak dengan ukuran yang persis sama. Jika Anda yakin mengunduh dari situs resmi (biasanya Anda menggunakan HTTPS dan sertifikat lulus), memverifikasi bahwa unduhan Anda sudah selesai biasanya sudah cukup. Peramban web yang layak biasanya tetap melakukan pemeriksaan untuk Anda, mengatakan sesuatu di sepanjang baris "unduhan gagal" jika mereka tidak mendapatkan jumlah data yang mereka harapkan, meskipun saya telah melihat peramban yang hanya memutuskan untuk menyimpan file yang tidak lengkap tanpa mengatakan apa pun. kepada pengguna, dalam hal ini Anda dapat memeriksa ukuran file secara manual.

Tentu saja, memverifikasi suatu checksum masih memiliki nilainya, melindungi Anda dalam kasus-kasus di mana file yang Anda unduh rusak di server, tetapi itu tidak terjadi terlalu sering. Namun, jika Anda akan menggunakan unduhan Anda untuk sesuatu yang penting, itu langkah yang patut diambil.

Seperti @sudodus katakan dalam komentar, menggunakan Bittorrent dan bukan HTTPS adalah pilihan lain, karena klien torrent melakukan pekerjaan yang jauh lebih baik ketika berhadapan dengan data yang tidak lengkap / rusak seperti yang dilakukan browser web.

Perhatikan bahwa checksum tidak benar-benar mencegah Anda dari diserang, itulah gunanya HTTPS.

Dmitry Grigoryev
sumber
5
TCP checksum tidak cukup besar untuk sesuatu yang sebesar file ISO. Ini hanya 16 bit; pada tautan berisik, ada peluang bagus bahwa beberapa korupsi berhasil dilewati.
Mark
1
@ Mark untuk ISO besar, akan ada banyak checksum TCP: satu untuk setiap segmen TCP yang diperlukan untuk mengirimkan data.
Anthony G - keadilan untuk Monica
3
@AnthonyGeoghegan, tepatnya. Setiap segmen memiliki peluang independen untuk dikorupsi, dan mengingat berapa banyak segmen yang terlibat dalam file ISO, ada peluang yang cukup bagus bahwa salah satu dari mereka akan rusak dengan cara yang masih cocok dengan checksum segmen itu.
Markus
1
@Mark dapatkah Anda memeriksa / proc / net / dev Anda dan memberi tahu berapa banyak frame TCP buruk yang telah Anda terima? Komputer saya mendapat 0, dengan uptime 140 hari. Jika saya tidak salah, peralatan Gigabit Ethernet bersertifikat memberikan bit error rate 10 ^ -10 atau lebih baik. Tentu saja, itu semua tergantung pada apa yang Anda sebut "peluang bagus" ...
Dmitry Grigoryev
1
@Mark Lapisan apa yang Anda gunakan yang tidak memiliki CRC atau sejenisnya? Dengan ethernet Anda mendapatkan pemeriksaan CRC dan TCP checksum. Belum menyelesaikan matematika untuk yang itu, tapi saya tidak bisa melihat bagaimana Anda sampai pada "peluang yang cukup bagus" di sana.
Voo
0

Saya menemukan cara yang sulit untuk tidak memeriksa penjumlahan. Saya akan membakar CD dengan ISO yang rusak selama unduhan, dan tidak bisa mem-boot atau ada kesalahan saat menjalankan.

Seperti kata yang lain, hanya butuh sedikit waktu.

fixit7
sumber
Hal terburuk tentang pengalaman itu adalah jika Anda membakar ISO lagi, Anda mendapatkan kesalahan yang sama pada CD
thomasrutter
1
Itu sebabnya saya menggunakan CD dan DVD RW. :-)
fixit7
7
Saya tidak pernah menulis CD / DVD selama lebih dari satu dekade. Tidak sepadan dengan waktu untuk menulis dan biaya untuk membeli ketika ada banyak pendrives murah
phuclv
0

Anda melihatnya dengan hanya menggunakan satu kasing, dalam pemasangan dengan otomasi massal, membantu memastikannya diverifikasi; skrip yang menjalankan pemeriksaan, sebelum melanjutkan dengan apa yang perlu kita lakukan dengan gambar

ajax_velu
sumber
0

Yang lain telah memberikan jawaban dengan detail teknis yang saya lupa meskipun saya seorang programmer (pekerjaan saya tidak melibatkan komunikasi melalui jaringan), jadi saya hanya akan memberi tahu Anda pengalaman pribadi.

Sebuah panjang waktu yang lalu, ketika saya digunakan untuk membakar CD sering, sekali terjadi padaku telah didownload distribusi linux ini ISO yang tampaknya telah didownload dengan benar. CD gagal saya, jadi saya memeriksa file yang diunduh dan tidak cocok. Jadi, saya mengunduh lagi dan berfungsi. Jadi, ini hanya terjadi sekali dalam 15 tahun sejak saya menjadi pengguna komputer yang maju dan pemrograman (telah menggunakan komputer sejak usia 11, 19 tahun yang lalu, dan saya telah membakar lebih dari seribu disc). Tetapi ini adalah bukti bahwa itu bisa terjadi.

Itu juga terjadi pada saya melalui BitTorrent sekali atau dua kali, sehingga tidak gagal-aman juga. Ketika memaksa memeriksa kembali file yang diunduh, itu mengidentifikasi bagian yang rusak.

Kesimpulan saya adalah HTTP (mengandalkan TCP) mungkin seaman mungkin, tetapi Internet berarti ada simpul perantara antara perangkat Anda dan server, dan tidak ada yang tahu apa yang bisa terjadi di jalan (paket bahkan hilang semua waktu), dan kadang-kadang komputer tidak dapat mengatakan bahwa data salah saya kira.

Tidak ada yang bisa menjawab apakah itu sepadan dengan masalah Anda - itu tergantung konteks dan saya yakin Anda bisa menilai itu sendiri. Bagi saya, itu tidak sepadan sepanjang waktu. Jika saya akan menginstal OS, saya akan memeriksa gambar yang diunduh sebelumnya.

Catatan: fakta bahwa saya hanya sekali atau dua kali melihat unduhan yang rusak tidak berarti itu hanya terjadi saat itu. Mungkin lain kali itu tidak menghalangi sehingga Anda tidak menyadarinya.

EDIT: Saya bahkan punya programmer lain yang lebih berpengalaman di tempat kerja berdebat (dengan cukup marah bahkan) bahwa hash verifikasi integritas data ini memungkinkan untuk mengetahui apakah file sedikit identik dengan aslinya, tapi saya tahu (saya telah membaca) bahwa fakta bahwa dua file menghasilkan hash yang sama tidak berarti bahwa mereka identik - itu hanya berarti sangat tidak mungkin mereka berbeda. Cara mereka berguna adalah bahwa ketika file tidak identik, dan terutama ketika mereka sangat berbeda, kode hash yang dihasilkan secara praktis tidak akan pernah sama (bahkan kemungkinan tes ini akan gagal). Dengan sedikit kata - jika kode hash berbeda, Anda tahu file berbeda.

bitoolean
sumber