Почему изображение файла SHA256 Raspbian никогда не соответствует изображению, указанному на сайте?

10

Каждый раз, когда я загружаю Raspbian (последний раз Raspbian Stretch с рабочим столом), я пытаюсь проверить SHA256. Тем не менее, каждый раз, когда результат отличается от того, что на сайте, хотя я совершенно уверен, что загрузка прошла успешно и без манипуляций.

Это почему? Я неправильно вычисляю?

В последний раз я генерировал sha256 на OSX с помощью команды shasum -a 256 2018-06-27-raspbian-stretch.img

Франческо Бой
источник
3
примечание стороны: «Я совершенно уверен, что загрузка прошла успешно и без манипуляций». - нет, ты не.
user253751
2
Если вы получаете хэш из того же канала, что и файл, который он утверждает для проверки, на самом деле это только контрольная сумма (обнаружение случайного повреждения). Злоумышленник, который может заменить изображение, также может изменить хеш для соответствия.
Джеффри Босбом
@immibis Нет, вы правы, я не в одном конкретном случае, но если каждый раз, когда sha256 не соответствует, более вероятно, что что-то не так в том, как я его вычисляю, чем на меня нападают при каждой загрузке, которую я делаю в разных ситуациях с разными сети и все остальное ... По крайней мере, я так думаю, в противном случае мне бы приходилось думать, что меня каждый раз атакуют, но я не настолько параноик
Франческо Бой

Ответы:

31

Контрольная сумма SHA-256 на странице загрузок предназначена для файла ZIP, а не для файла IMG.

кортик
источник
Это смутило меня, потому что кажется, что OSX извлекает непосредственно zip-файл, поэтому я не получил его, был загружен как zip.
Франческо Бой
Вы найдете файл .zip в родительской папке, в которую было извлечено содержимое. Мне тоже понадобилось время, чтобы привыкнуть. :)
Жюль
11
Sidenote: предоставленные контрольные суммы, как правило, непосредственно для загруженного файла , а не для каких-либо файлов внутри загруженного архива / контейнера.
Майкл Питтино