web-dev-qa-db-fra.com

La vérification des ISO téléchargées sur le site Web officiel en vaut-elle la peine?

J'ai téléchargé l'ISO de https://www.ubuntu.com/download , en sélectionnant l'option par défaut "Bureau Ubuntu".

Le site Web relie la page https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubunt qui donne des instructions pour vérifier ubuntu.

Cela semble assez fastidieux, et je me demande à quel point il est réaliste qu’il ya un problème avec l’ISO téléchargée sur le site officiel. Je remarque que le processus de vérification lui-même exige que je télécharge un logiciel qui m'est nouveau, introduisant ainsi un autre vecteur d'attaque sur moi alors même que j'en ferme un autre.

Pour ce que cela vaut, je prévois d’utiliser Live USB uniquement et de ne pas installer complètement Ubuntu. Cela fait-il une différence?

36
user1205901

Oui ça vaut la peine.

Cela ne prend que quelques secondes à md5sum/etc une ISO téléchargée, et cela rassure que MITM ne vous a pas attaqué, etc. Au-delà, ces secondes sont une assurance du temps perdu [heures] si vous aviez quelques erreurs minimes et le débogage nécessaire Après avoir téléchargé des erreurs, personne ne se trouve à cause de votre téléchargement (par exemple, vous avez des problèmes de réseau et essayez donc de déboguer, mais la mise en réseau est bourrée parce que c’est ce que les quelques erreurs de calcul ont été…) Pensez aux vérifications de la somme de contrôle comme une assurance très bon marché.

Le logiciel nécessaire pour md5sum quelque chose sera généralement d'une autre source (une version plus ancienne, même différente de os/distro à l'occasion), est très petit et est déjà présent pour beaucoup/la plupart d'entre nous.

En outre, cela me permet de télécharger depuis un miroir local, mais parce que je récupère le md5sum depuis la source Canonical; J'ai l'assurance que le miroir n'a pas joué avec. Encore une fois, une assurance très peu coûteuse qui me coûte environ 3 secondes.

56
guiverc

Oui, il est TRES RECOMMANDÉ que vous vérifiiez l'image que vous avez téléchargée. Voici quelques raisons:

  • Cela prend juste quelques secondes et peut vous dire si l’intégrité du fichier est correcte, je veux dire, le fichier n’est pas corrompu. (Une cause fréquente de corruption est une erreur de transfert pour des raisons techniques telles qu'une connexion Internet irrégulière à partir du commentaire @sudodus.)
  • Si le fichier est corrompu et que vous gravez cette image ISO sur un CD/lecteur USB, si cela ne fonctionne pas ou si vous échouez au cours d'une installation, vous perdez du temps et des CD.
  • Vous êtes sûr que vous utilisez la version officielle CLEAN de tout type d’image ou de logiciel ISO et non pas une version modifiée (peut-être par des attaquants), consultez le rapport suivant: Des pirates des Watch Dogs frappés par le scorbut Bitcoin- extraction de logiciels malveillants

Si vous avez déjà une distribution Linux GNU, vous pouvez utiliser md5sum , si vous êtes sous Windows, vous pouvez utiliser: WinMD5Free .

J'espère que ça aide.

21
galoget

Oui, c'est vrai, mais Ubuntu semble rendre la tâche plus difficile qu'elle ne devrait l'être.

Dans le meilleur des cas, il vous suffirait de télécharger foo.iso et foo.iso.sig et de cliquer sur le fichier .sig (ou d'utiliser gpg sur le shell dans le fichier .sig) après avoir importé la clé une fois. Cela coûte quelques secondes.

Ubuntu semble compliquer les choses en vous obligeant à vérifier les sommes sha256 d'un fichier alors que seul le fichier lui-même est signé. C'est pratique pour eux, mais cela demande plus de travail à leurs utilisateurs.

D'autre part, lorsque le fichier a été généré uniquement par sha256sum * >SHA256SUMS, vous pouvez le vérifier à l'aide de sha256 -c et obtenir OK/Bad/Not-Found en sortie.

2
allo

Vérifiez votre /proc/net/dev et voyez combien de _ TCP mauvaises trames que vous avez reçues jusqu'à présent. Si vous voyez une valeur à un chiffre (espérons un zéro), lisez la suite. Si vous rencontrez beaucoup d'erreurs de réseau, utilisez certainement MD5 pour vérifier vos téléchargements (bien que je préfère en rechercher l'origine, car un réseau peu fiable signifie que vous ne pouvez faire confiance à rien de ce que vous recevez via HTTP).

Lorsque vous téléchargez sur TCP qui contrôle toutes les données transmises, il y a très peu de chance qu'un téléchargement corrompu corresponde exactement à la même taille. Si vous êtes sûr de télécharger à partir du site officiel (normalement si vous utilisez HTTPS et que la vérification du certificat réussit), il est généralement suffisant de vérifier que le téléchargement est terminé. De toute façon, de bons navigateurs Web vérifient généralement pour vous, en disant "échec du téléchargement" s'ils n'obtiennent pas la quantité de données attendue, même si j'ai déjà vu des navigateurs décider de conserver le fichier incomplet sans rien dire. à l'utilisateur, auquel cas vous pouvez vérifier la taille du fichier manuellement.

Bien sûr, la vérification d'une somme de contrôle a toujours sa valeur, car elle vous protège dans les cas où le fichier que vous téléchargez est corrompu sur le serveur, mais cela n'arrive pas trop souvent. Néanmoins, si vous utilisez votre téléchargement pour quelque chose d'important, c'est une étape qui mérite d'être franchie.

Comme @sudodus l'a dit dans les commentaires, utiliser Bittorrent au lieu de HTTPS est une autre option, car les clients torrent font un bien meilleur travail lorsqu'ils traitent des données incomplètes/corrompues comme le font les navigateurs Web.

Notez que les checksums n'empêchent pas vraiment de vous faire attaquer, c'est à cela que sert HTTPS.

2
Dmitry Grigoryev

Les autres ont donné des réponses avec des détails techniques que j'avais oubliés bien que je sois programmeur (mon travail n'implique pas la communication sur les réseaux), je vais donc simplement vous faire connaître une expérience personnelle.

Il y a longtemps , lorsque je gravais fréquemment des CD, il m'est déjà arrivé d'avoir téléchargé cet ISO de distribution Linux qui semblait avoir été téléchargé correctement. Le CD m'a échoué, j'ai donc vérifié le fichier téléchargé et il ne correspondait pas. Donc, j'ai téléchargé à nouveau et cela a fonctionné. Donc, cela ne s'est produit qu'une fois en 15 ans depuis que je suis un utilisateur avancé en programmation (j'utilise des ordinateurs depuis l'âge de 11 ans, il y a 19 ans et j'ai gravé plus d'un millier de disques). Mais c'est la preuve que cela peut arriver.

Cela m'est également arrivé une ou deux fois par le biais de BitTorrent, donc ce n'est pas non plus sans faille. En forçant la revérification du fichier téléchargé, il a identifié la pièce corrompue.

Ma conclusion est que HTTP (s'appuyer sur TCP) est peut-être aussi sûr qu'il peut être, mais Internet signifie qu'il y a des nœuds intermédiaires entre votre appareil et le serveur, et rien ne dit ce qui peut arriver en cours de route (des paquets sont même perdus toutes les et parfois, les ordinateurs ne peuvent pas dire que les données sont fausses, je suppose.

Personne ne peut dire si cela vaudrait la peine pour vous - cela dépend du contexte et je suis sûr que vous pouvez en juger par vous-même. Pour moi, ça ne vaut pas la plupart du temps. Si j’allais installer un système d’exploitation, je vérifierais l’image téléchargée auparavant.

Remarque: le fait que j’ai remarqué une ou deux fois seulement un téléchargement corrompu ne signifie pas qu’il ne s’est produit qu’alors. Peut-être que d'autres fois, cela ne vous gênera pas et vous ne le remarquerez pas.

EDIT: J'ai même eu des programmeurs plus expérimentés au travail qui affirmaient (avec une certaine indignation même) que ces hachages de vérification de l'intégrité des données permettaient de savoir si un fichier est identique au bit. l'original, mais je sais (j'ai lu) que le fait que deux fichiers donnent le même hachage ne signifie pas qu'ils sont identiques - cela signifie simplement qu'il est extrêmement improbable qu'ils soient différents. Leur utilité est que lorsque les fichiers ne sont pas identiques, et en particulier lorsqu'ils sont très différents, les codes de hachage résultants ne seront pratiquement jamais les mêmes (il est encore moins probable que ce test échoue). En moins de mots - si les codes de hachage sont différents, vous savez que les fichiers sont différents.

0
bitoolean

J'ai découvert le moyen difficile de ne pas vérifier la somme. Je graverais un CD avec un ISO qui aurait été corrompu pendant un téléchargement et je ne pouvais pas le faire démarrer ou il y avait des erreurs lors de son exécution.

Comme le disent les autres, cela prend peu de temps.

0
fixit7

Vous le voyez avec un seul cas d'utilisation, dans une configuration avec une automatisation de masse, il est utile de le faire vérifier. scripts qui exécutent la vérification, avant de continuer avec ce que nous devons faire avec l'image

0
ajax_velu