公式WebサイトからダウンロードしたISOを検証する価値はありますか？

Question

https://www.ubuntu.com/download からISOをダウンロードし、デフォルトの「Ubuntu Desktop」オプションを選択しました。

Webサイトは、ページをリンクします https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubunt これは、ubuntuを確認する方法を示します。

これはかなり退屈に思えますが、公式WebサイトからダウンロードしたISOに問題があるのはどれほど現実的かと思います。検証プロセス自体には、私にとって新しいソフトウェアをダウンロードする必要があるため、別の攻撃ベクトルを閉じようとしても、別の攻撃ベクトルを導入することに注意してください。

価値があるのは、ライブUSBのみを使用し、Ubuntuを完全にインストールしないことです。それは違いがありますか？

guiverc · Accepted Answer

はい、それは価値があります。

ダウンロードしたISOをmd5sum/etcにたった数秒で接続でき、MITMなどによる攻撃を受けなかったという安心感を提供します。ダウンロードが原因で誰も取得しないエラーを追跡します（たとえば、ネットワークの問題があるためデバッグを試みますが、ネットワークが詰まっているのは、それがほんの少し間違っているためです...）.

Md5sumに必要なソフトウェアは、通常別のソース（古いバージョン、場合によっては異なるos/distroでもあります）からのものであり、非常に小さく、多くの人/ほとんどの人に既に存在しています。

さらに、ローカルミラーからダウンロードできますが、Canonicalソースからmd5sumを取得するためです。私は、ミラーがそれで遊んでいないことを保証しています。繰り返しますが、非常に安価な保険で、3秒ほどかかります。

galoget · Answer

はい、ダウンロードしたイメージを確認するのはVERY RECOMMENDEDです。いくつかの理由があります。

数秒でファイルの整合性が正しいかどうか、つまりファイルが破損していないかどうかを確認できます。（破損の一般的な原因は、@ sudodusコメントからの不安定なインターネット接続などの技術的な理由による転送エラーです。）
ファイルが破損しており、このISOイメージをCD/USBドライブに焼き付けても機能しない場合、またはインストール中に失敗する可能性がある場合、時間とCDが無駄になります。
修正されたバージョンではなく、あらゆる種類のISOイメージまたはソフトウェアの公式CLEANバージョンを使用していることは確かです（攻撃者による）。このレポートを参照してください： Scurvy Bitcoin-マイニングマルウェア

すでにGNU Linuxディストリビューションがある場合は、 md5sum を使用できます。Windowsを使用している場合は、次を使用できます： WinMD5Free 。

それが役に立てば幸い。

allo · Answer

はい、そうですが、Ubuntuは本来よりも難しくしているようです。

最善の場合は、キーを1回インポートした後、foo.isoとfoo.iso.sigをダウンロードし、.sigファイルをクリックします（または.sigファイルのシェルでgpgを使用します）。これには数秒かかります。

Ubuntuは、ファイル自体だけが署名されている間にファイルからsha256の合計をチェックすることを強制することで、より複雑になっているようです。これはユーザーにとっては便利ですが、ユーザーにとってはより多くの作業が必要です。

一方、ファイルがsha256sum * >SHA256SUMSだけで生成された場合は、sha256 -cを使用して確認し、出力としてOK/Bad/Not-Foundを取得できます。

Dmitry Grigoryev · Answer

/proc/net/devを確認し、これまでに受信した不良TCPフレームの数を確認します。 1桁の値（できればゼロ）が表示される場合は、先に進んでください。大量のエラーやネットワークエラーが発生した場合は、MD5を使用してダウンロードを確認してください（ネットワークの信頼性が低いため、HTTP経由で受信したものは信頼できないため、根本的な原因を調査します）。

すべての送信データをチェックサムするTCPを介してダウンロードする場合、まったく同じサイズのダウンロードが破損する可能性はほとんどありません。公式サイトからダウンロードしていると確信している場合（通常はHTTPSを使用しており、証明書チェックに合格している場合）、ダウンロードが完了したことを確認するだけで十分です。とにかく、まともなウェブブラウザは、あなたが期待する量のデータを取得できない場合、「ダウンロード失敗」の行に沿って何かを言って、あなたのために通常チェックを行いますが、私は何も言わずに不完全なファイルを保持することに決めたブラウザを見ましたこの場合、ファイルサイズを手動で確認できます。

もちろん、チェックサムの検証には価値があり、ダウンロードしているファイルがサーバー上で破損している場合に対応しますが、それほど頻繁には発生しません。それでも、重要な何かのためにダウンロードを使用する場合、それは取る価値のあるステップです。

@sudodusがコメントで述べたように、HTTPSの代わりにBittorrentを使用することも別のオプションです。なぜなら、トレントクライアントは、Webブラウザーのように不完全/破損したデータを処理する際により良い仕事をするからです。

チェックサム実際に防止しないでください攻撃されないように注意してください。これがHTTPSの目的です。

bitoolean · Answer

他の人は私がプログラマーであるにもかかわらず忘れた技術的な詳細を答えてくれたので（私の仕事はネットワークを介した通信を伴わない）、私はあなたに個人的な経験を知らせます。

long昔、私がCDを頻繁に焼き付けていたときに、たまたまこのLinuxディストリビューションISOをダウンロードして、正しくダウンロードされているように見えました。 CDが失敗したので、ダウンロードしたファイルをチェックしましたが、一致しませんでした。だから、私は再びダウンロードし、それが働いた。だから、これは、私が高度なコンピューターユーザーであり、プログラミング（11、19年前からコンピューターを使用しており、1000枚以上のディスクを焼きました）以来、15年に1回しか発生しませんでした。しかし、それは起こりうる証拠です。

また、BitTorrentを介して1回または2回発生したため、フェイルセーフでもありません。ダウンロードしたファイルの再チェックを強制すると、破損したピースが特定されました。

私の結論は、HTTP（TCPに依存）は取得するのと同じくらい安全かもしれませんが、インターネットはデバイスとサーバーの間に中間ノードがあり、途中で何が起こるかわからないことを意味します（パケットはすべて失われます）時間）、そして時々データが間違っているとコンピュータが判断できないと思います。

トラブルに見合う価値があるかどうかは誰も答えられません-それは状況次第であり、あなた自身でそれを判断できると確信しています。私にとっては、ほとんどの場合価値がありません。ただし、OSをインストールする場合は、ダウンロードしたイメージを前に確認します。

注：破損したダウンロードに1回か2回しか気づかなかったからといって、それがその後だけになったわけではありません。たぶん、邪魔にならないので気づかないかもしれません。

編集：私は、これらのデータ整合性検証ハッシュにより、ファイルがビットと同一であるかどうかを know オリジナルですが、2つのファイルが同じハッシュを生成するという事実は、それらが同一であることを意味するものではないことを知っています（それはまったく異なる可能性が非常に低いことを意味します）。それらが有用な方法は、ファイルが同一でない場合、特にファイルが非常に異なる場合、結果のハッシュコードは実際には決して同じではないということです（このテストが失敗する可能性はさらに低くなります）。少ない言葉で-ハッシュコードが異なる場合、ファイルが異なることがわかります。

fixit7 · Answer

合計をチェックしないという難しい方法を見つけました。ダウンロード中に破損したISOを使用してCDを作成し、起動できないか、実行中にエラーが発生しました。

他の人が言ったように、それは少し時間がかかります。

ajax_velu · Answer

ユースケースが1つだけであることがわかります。大規模自動化を使用したセットアップでは、検証するのに役立ちます。チェックを実行するスクリプト。イメージを処理する必要がある場合に進む前に