Pourquoi avons-nous besoin de deux outils pour vérifier l’ISO? Y a-t-il des points particuliers à considérer entre eux?
Réponse courte: Pour vérifier les ISO, il n'y a pas de différence pratique, utilisez celui que vous voulez, comme tant que vous faites confiance à la source fournissant les sommes. MD5 est/était utilisé pour être la norme, mais le monde de l'informatique s'oriente vers l'adoption de SHA puisqu'il est plus récent. et "meilleur" pour l'avenir; par conséquent, SHA sommes sont souvent fournies à titre d'alternative.
md5sum
et sha256sum
sont des programmes qui implémentent respectivement les algorithmes de hachage MD5 et SHA-256Le programme sha256sum est conçu pour vérifier l'intégrité des données à l'aide du SHA-256 (famille SHA-2 avec une longueur de résumé de 256 bits). Les hachages SHA-256 utilisés correctement peuvent confirmer l'intégrité du fichier et l'authenticité . SHA-256 sert un objectif similaire à un algorithme antérieur recommandé par Ubuntu, MD5, mais est moins vulnérable aux attaques . En termes de sécurité, les hachages cryptographiques tels que SHA-256 permettent l’authentification des données obtenues à partir de miroirs non sécurisés.
Le programme md5sum est conçu pour vérifier l'intégrité des données à l'aide du hachage cryptographique MD5 (algorithme Message-Digest 5) de 128 bits . Les hachages MD5 utilisés correctement peuvent confirmer l'intégrité et l'authenticité du fichier. Le hachage MD5 doit être signé ou provenir d'une source sécurisée (une page HTTPS) d'une organisation en laquelle vous avez confiance. While des failles de sécurité dans l'algorithme MD5 ont été découvertes , les hachages MD5 sont toujours utiles lorsque vous faites confiance à l'organisation qui les produit.
Fondamentalement, c'est une mesure de préoccupation de sécurité. Si vous utilisez des miroirs non officiels pour le téléchargement des images ISO, vous pouvez probablement utiliser les deux pour vous assurer de l'intégrité du fichier.
Une alternative à la validation md5 est la somme sha1 et sha256 comme expliqué ci-dessus.
Supposons que vous téléchargiez ou torriez la dernière image ISO du site releases , par exemple Raring . Notez en haut qu'il y a un fichier appelé SHA1SUMS ainsi qu'un SHA256SUMS , chacun avec un long numéro pour chaque fichier .iso.
Une fois le téléchargement du fichier .iso terminé, vous pouvez calculer la somme sha1 ou sha256 correspondante pour vous assurer qu'il correspond à la valeur du fichier SHA1SUMS. Vous pouvez le faire avec rhash .
Tout d'abord l'installer. Si sur Ubuntu:
Sudo apt-get install rhash
Pour les autres systèmes d'exploitation, vous pouvez le télécharger ici .
Calculez ensuite la somme sha1 ou sha256 du fichier que vous avez téléchargé. Par exemple, pour ubuntu-13.04-desktop-AMD64.iso, j'ai téléchargé:
$ rhash --sha1 ubuntu-13.04-desktop-AMD64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8 ubuntu-13.04-desktop-AMD64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-AMD64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8 ubuntu-13.04-desktop-AMD64.iso
$
Les valeurs correspondent respectivement à celles des fichiers SHA1SUMS et SHA256SUMS , validant le téléchargement.
Vous pouvez également exécuter rhash --md5 ubuntu-13.04-desktop-AMD64.iso
et comparer le fichier MD5SUMS .
MD5 et SHA-2 sont des algorithmes de hachage différents. Il appartient au (x) développeur (s) de décider de ce qu’ils souhaitent utiliser comme moyen simple de vérifier l’intégrité des données.
Dans ce cas, ils sont utilisés pour "obtenir" la même chose, mais les résultats (le hachage) sont complètement différents.