ISOを検証するために2つのツールが必要な理由。それらの間に考慮すべき特定のものはありますか?
簡単な答え:ISOを検証するための実用的な違いはありません。好きなものを使用してくださいas合計を提供するソースを信頼している限り。 MD5は標準である/使用されていますが、コンピューティングの世界は新しいため、SHAの採用に向かっています。そして将来のために「より良い」。そのため、代替としてSHA合計がしばしば提供されます。
md5sum
およびsha256sum
は、それぞれMD5およびSHA-256ハッシュアルゴリズムを実装するプログラムです。プログラムsha256sumは、SHA-256(256ビットのダイジェスト長を持つSHA-2ファミリー)を使用してデータの整合性を検証するように設計されています。適切に使用されたSHA-256ハッシュはファイルの整合性と信頼性の両方を確認にできます。 SHA-256は、Ubuntuが推奨する以前のアルゴリズムであるMD5と同様の目的を果たしますただし、攻撃に対して脆弱ではありません。セキュリティの観点から、SHA-256などの暗号化ハッシュは、安全でないミラーから取得したデータの認証を許可します。
From How to MD5SUM
プログラムmd5sumは、MD5(メッセージダイジェストアルゴリズム5)128-bit暗号ハッシュを使用してデータの整合性を検証するように設計されています。適切に使用されたMD5ハッシュは、ファイルの整合性と信頼性の両方を確認できます。 MD5ハッシュ信頼する組織の安全なソース(HTTPSページ)から署名する必要があります。一方でMD5アルゴリズムのセキュリティ欠陥が発見されました、MD5ハッシュそれらを作成する組織を信頼する場合は、依然として有用です。
基本的に、これはセキュリティ上の懸念の尺度です。 ISOのダウンロードに非公式ミラーを使用している場合、おそらく両方を使用してファイルの整合性を確認できます。
Md5sum検証の代替方法は、上記で説明したsha1およびsha256の合計です。
releases サイト、たとえば Raring から最新のisoをダウンロードまたはトレントするとします。上部に SHA1SUMS と呼ばれるファイルと SHA256SUMS があり、それぞれに.isoファイルの長い番号があることに注意してください。
.isoファイルのダウンロードが完了したら、sha1またはsha256の合計を計算して、SHA1SUMSファイルの値と一致することを確認できます。 rhash でこれを行うことができます。
最初にインストールします。 Ubuntuの場合:
Sudo apt-get install rhash
他のオペレーティングシステムの場合は、ダウンロードできます こちら 。
次に、ダウンロードしたファイルのsha1またはsha256の合計を計算します。たとえば、ダウンロードしたubuntu-13.04-desktop-AMD64.isoの場合:
$ rhash --sha1 ubuntu-13.04-desktop-AMD64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8 ubuntu-13.04-desktop-AMD64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-AMD64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8 ubuntu-13.04-desktop-AMD64.iso
$
値はそれぞれ SHA1SUMS および SHA256SUMS ファイルの値と一致し、ダウンロードを検証します。
rhash --md5 ubuntu-13.04-desktop-AMD64.iso
を実行して、 MD5SUMS ファイルと比較することもできます。
MD5とSHA-2は異なるハッシュアルゴリズムです。データの整合性を確認する簡単な方法として、使用するものを決定するのは開発者次第です。
この場合、同じことを「達成する」ために使用されますが、結果(ハッシュ)は完全に異なります。