web-dev-qa-db-ja.com

ダウンロードしたファイルの整合性を本当にチェックする必要がありますか?

大量のファイルをダウンロードしましたが、ごく最近、整合性チェッカーとしてmd5とshaが使用されていることを発見しました。それ以降、ダウンロードされた大きなファイルが破損していないかどうかを常に確認することを好みます。

ダウンロードしたファイルの整合性を本当にチェックする必要がありますか?

必要に応じて、ダウンロードしたばかりのLinuxディストリビューション(1GB)を例として選択してください。

ありがとうございました

9
maxpesa

それはいくつかの要因に依存します。

  1. 安定したインターネット接続がありますか?
    安定したインターネット接続がある場合は、ファイルの整合性をチェックする必要はありません。ファイルが正しい可能性が高いからです。ハッシュをチェックしたことはなく、ファイルが破損したこともありません。または、リモートサーバーが切断されたときもあります。

  2. セキュリティ上の理由に基づいてファイルを検証しますか?
    ダウンロードするファイルの安全性が心配な場合は、MD5ハッシュを使用して、ファイルが何らかの形で変更されていないことを確認できます。ファイルをダウンロードし、MD5ハッシュが一致しない場合は、サーバー上のファイルがMD5ハッシュとは異なり、何らかの理由で問題が発生していることを意味します。これは、ダウンロード元のサーバーを信頼できない場合にのみ有効ですが、通常、誰かがハッシュを提供すると、最新の状態に保つために最善を尽くします。しかし、彼らのサイトがハッキングされ、MD5ハッシュをチェックした場合は、少しのボーナスがあります。

全体として、これら2つはほとんどの人にノーを与えるでしょう。それがあなたにとってノーなら、もちろんそれは完全にあなた次第です。

6
LPChip

答えと選択は、リスク許容度と検証の時間と労力の考慮に基づいて行われます。

MD5/SHA1ハッシュをチェックすることは良い最初のステップであり、時間があるときにそれを行う必要があります。ただし、提供されたハッシュを信頼する能力を考慮する必要があります。たとえば、ハッシュを使用して作成者のWebサイトがハッキングされた場合、攻撃者がハッシュを変更する可能性があるため、わかりません。計算するハッシュがnot提供されたハッシュと同じである場合、何かがアップしていることがわかります。ただし、ハッシュの一致がnotであるという理由だけで、ファイルが良好であることを保証しません。

ソフトウェア作成者が整合性と信頼性を提供するためのより良い代替手段は、 ファイルにデジタル署名する 配布することです。これにより、信頼性情報がファイルに添付され、一部のWebサイトの信頼に依存しなくなります。作成者がファイルにデジタル署名する場合、これを偽造する唯一の方法は、認証局が侵害されているか、開発者の署名キーが盗まれた場合です。これらのケースはどちらも、インターネット上のWebサイトがハッキングされる可能性がはるかに低いです。

最終的には、自分でデューデリジェンスを行って何かを信頼するかどうかを判断し、対策(サンドボックス、仮想マシンなどで実行)を実行して、信頼するかどうかを決定するときに行った未知の要因や誤算を軽減する必要があります。 。

6
Eric G

セキュリティ上の理由から、はい。 Tor出口ノードが ダウンロード中にバイナリにパッチを適用する であることが判明したことを考慮してください。次に、ISPのモラルがわずかである場合とない場合があり、インターネット接続を完全に制御していることを覚えておいてください。

4
Michael Kohne

他の答えに追加するだけです:

TLDR:整合性が重要なファイルの場合、はい

長い答え:ファイルの整合性が高いことが重要な場合に必要になることがよくあります。

一例は、OpenWRTでルーターをフラッシュすることです。ファイルが破損している場合、そのルーターはブリックされ、次のいずれかを実行する必要があります。

  • 交換してください(高価)
  • 修正します(時間がかかります。特にシリアルケーブル/ JTAGをはんだ付けする必要がある場合)

これらは両方とも、ハッシュをチェックする単純さに比べて不便です。したがって、重要なファイルに対してこれを行うことを強くお勧めします。

4
George

シークオフセットを使用したHTTPリクエストはそれほど広く使用されていないため、ダウンロードが中断されたかどうかを確認するだけで、後で再開しました。そのため、何かおかしなことが起こった可能性があります。

多くの場合、ダウンロードは圧縮ファイルであり、壊れても解凍されません。そうでない場合は、チェックすることは悪い考えではありません。 ISOをライトワンスメディアに書き込む前にチェックする場合があります。

他の回答やコメントが言っているように、私が入手したのと同じサイトのハッシュでそれを検証することは、セキュリティの観点からはほとんど役に立ちません。ミラーからダウンロードした方が便利な場合がありますが、ハッシュは元のアップストリームからのものです。または、ファイル名があいまいで、何らかの理由で、希望する正確なバージョンを取得したかどうかわからない場合。

重要なのは、ハッシュの公開は、ハッシュをホストしている同じサイトからファイルをダウンロードする以外の多くの特殊なケースに役立つということです。

0
Peter Cordes