Mengapa SHA256 gambar file Raspbian tidak pernah sesuai dengan yang ditunjukkan di situs web?


10

Setiap kali saya mengunduh Raspbian (terakhir kali Raspbian Stretch with desktop) saya mencoba memverifikasi SHA256. Namun, setiap kali hasilnya berbeda dari yang ada di situs web, walaupun saya cukup yakin unduhannya berhasil dan tanpa manipulasi.

Mengapa demikian? Apakah saya menghitung dengan cara yang salah?

Terakhir kali saya membuat sha256 di OSX dengan perintah shasum -a 256 2018-06-27-raspbian-stretch.img


3
catatan tambahan - "Saya yakin unduhannya berhasil dan tanpa manipulasi." - tidak, kamu tidak.
user253751

2
Jika Anda mendapatkan hash dari saluran yang sama dengan file yang diklaim untuk diverifikasi, sebenarnya itu hanya checksum (mendeteksi korupsi yang tidak disengaja). Penyerang yang bisa mengganti gambar juga bisa memodifikasi hash agar sesuai.
Jeffrey Bosboom

@immibis Tidak Anda benar Saya tidak berada dalam satu kesempatan tertentu, tetapi jika setiap kali sha256 tidak sesuai, kemungkinan besar ada sesuatu yang salah dalam cara saya menghitungnya daripada saya diserang pada setiap unduhan yang saya lakukan dalam situasi berbeda dengan perbedaan jaringan dan segala sesuatu yang berbeda .... Setidaknya saya pikir begitu kalau tidak saya harus berpikir saya diserang setiap kali tetapi saya tidak paranoid
Francesco Boi

Jawaban:


31

SHA-256 checksum pada halaman unduhan adalah untuk file ZIP, bukan file IMG.


Itu membingungkan saya karena sepertinya OSX mengekstrak langsung file zip jadi saya tidak mendapatkannya diunduh sebagai zip.
Francesco Boi

Anda akan menemukan file .zip ada di folder induk dari lokasi konten diekstraksi. Saya butuh waktu untuk membiasakan diri juga. :)
Jules

11
Sidenote: Checksum yang disediakan secara umum langsung untuk file yang diunduh , bukan untuk file apa pun di dalam arsip / wadah yang diunduh.
Michael Pittino
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.