La vérification des ISO téléchargées sur le site officiel en vaut-elle la peine?


37

J'ai téléchargé l'ISO à partir de https://www.ubuntu.com/download , en sélectionnant l'option par défaut "Ubuntu Desktop".

Le site Web renvoie à la page https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu, qui explique comment vérifier ubuntu.

Cela semble assez fastidieux, et je me demande à quel point il est réaliste qu’il ya un problème avec l’ISO téléchargée sur le site officiel. Je remarque que le processus de vérification lui-même exige que je télécharge un logiciel qui m'est nouveau, introduisant ainsi un autre vecteur d'attaque sur moi, alors même que j'en ferme un autre.

Pour ce que cela vaut, je prévois d’utiliser Live USB uniquement et de ne pas installer complètement Ubuntu. Cela fait-il une différence?


8
Ma réponse politique est "YES DO IT". Je ne l'ai jamais fait, sauf peut-être une fois lors du premier téléchargement il y a plusieurs lunes. Je télécharge et évalue toujours des logiciels ou des correctifs / corrections de bogues et je ne peux tout simplement pas être dérangé par les étapes supplémentaires. De plus, mes systèmes sont tous hors production et s’ils sont «pouf» demain, je hausserais les épaules et passerais à autre chose.
WinEunuuchs2Unix

14
Torrent est une alternative si vous ne voulez pas vérifier le md5sum. Lorsque vous recevez un fichier via torrent, il est automatiquement vérifié :-) Il est souvent plus rapide d'utiliser la méthode torrent (par rapport aux téléchargements ordinaires), mais certains fournisseurs de services Internet le bloquent car ils pensent qu'il n'est utilisé qu'à des fins illégales. .
sudodus

2
Les sommes de contrôle MD5 sur des fichiers volumineux sont principalement utilisées pour garantir l'intégrité du fichier téléchargé (par exemple, pour détecter si le transfert est annulé prématurément), et non pour limiter le risque d'attaques MITM.
rexkogitans

1
@rackandboneman Non, ce n'est pas du tout la question sous-jacente.
David Richerby

16
Fait amusant: vous passerez probablement plus de temps à poser cette question que de calculer des sommes de contrôle dans votre vie entière.
el.pescado

Réponses:


57

Oui ça vaut la peine.

Cela ne prend que quelques secondes à md5sum / etc une ISO téléchargée, ce qui rassure que MITM ne vous a pas attaqué, etc. Après avoir téléchargé des erreurs, personne ne se trouve à cause de votre téléchargement (par exemple, vous avez des problèmes de réseau et essayez donc de déboguer, mais la mise en réseau est bourrée parce que c’est ce que les quelques erreurs de calcul ont été ...).

Le logiciel nécessaire pour que md5sum soit en général issu d’une autre source (une version plus ancienne, même parfois différente de os / distro), est très petit et est déjà présent pour beaucoup / la plupart d’entre nous.

En outre, cela me permet de télécharger depuis un miroir local, mais parce que je récupère le md5sum depuis la source Canonical; J'ai l'assurance que le miroir n'a pas joué avec. Encore une fois, une assurance très économique qui me coûte environ 3 secondes.


12
Toutefois, si le téléchargement utilise la méthode de transfert HTTPS, tous les contrôles d'intégrité ont déjà été effectués.
Nayuki

15
@Nayuki ces vérifications d'intégrité n'auront aucune valeur si le fichier est endommagé d'une manière ou d'une autre sur le serveur (défaillance du disque / pilote FS, mauvaise mise en miroir, etc.).
Ruslan

6
@Nayuki Ce n'est pas parce que vous accédez à un site Web via HTTPS que le lien entier de votre PC vers la mémoire de stockage contenant le fichier que vous téléchargez est crypté. Voir la débâcle des liens de centres de données Google il y a quelques années.
un CVn

30
Si quelqu'un a MITMé l'ISO, à qui dire qu'ils n'ont pas MITM la somme de contrôle lorsque vous l'avez visualisée sur le site Web? (Si vous utilisez un miroir, c'est utile.) Il n'est pas rare de voir la somme de contrôle et le téléchargement servis à partir de la même entité.
Lan

14
Ne supposez JAMAIS qu'une somme de contrôle détectera MitM. Les sommes de contrôle données pourraient également être fausses. Le moyen approprié est de vérifier la signature , mais cela nécessite GPG (je ne l’ai fait qu’une fois et c’est pénible).
Micheal Johnson

21

Oui, il est TRES RECOMMANDÉ que vous vérifiiez l'image que vous avez téléchargée, voici quelques raisons:

  • Cela prend juste quelques secondes et peut vous dire si l’intégrité du fichier est correcte, je veux dire, le fichier n’est pas corrompu. (Une cause fréquente de corruption est une erreur de transfert pour des raisons techniques telles qu'une connexion Internet irrégulière à partir du commentaire @sudodus.)
  • Si le fichier est corrompu et que vous gravez cette image ISO sur un CD / lecteur USB, si cela ne fonctionne pas ou si vous échouez au cours de l'installation, vous perdez du temps et des CD.
  • Vous êtes sûr que vous utilisez la version officielle CLEAN de tout type d'image ISO ou de logiciel et non d'une version modifiée (peut-être par des attaquants), consultez le rapport suivant: Les pirates des Watch Dogs frappés par le malware scurvy Bitcoin-mining

Si vous avez déjà une distribution GNU Linux, vous pouvez utiliser md5sum . Si vous êtes sous Windows, vous pouvez utiliser: WinMD5Free .

J'espère que ça aide.


3
Pour les fenêtres, vous pouvez utiliser la fonction intégrée certutil: superuser.com/a/898377/521689
Kanchu

1
J'ai également répondu, mais je vote à nouveau sur votre réponse car je sens qu'elle répond bien à la question et qu'elle est utile à un plus grand nombre de lecteurs car elle n'entre pas dans des détails trop techniques comme les autres réponses.
bitoolean

@sudodus Networks a ses propres contrôles d'intégrité. Bien qu'il ne soit pas impossible que les erreurs les dépassent (TCP utilise simplement une somme de contrôle, qui ne détectera pas les échanges de mots, mais la plupart des liens utilisent le CRC), ce n'est généralement pas un sujet d'inquiétude.
Barmar

Cependant, si un attaquant est capable de corrompre un fichier, la modification de la valeur dans une boîte MD5 devrait également être à portée de main.
Pascal Engeler

2

Oui, c'est vrai, mais Ubuntu semble rendre la tâche plus difficile qu'elle ne devrait l'être.

Dans le meilleur des cas, il vous suffirait de télécharger foo.iso et foo.iso.sig et de cliquer sur le fichier .sig (ou d'utiliser gpg sur le shell du fichier .sig) après avoir importé la clé une fois. Cela coûte quelques secondes.

Ubuntu semble compliquer les choses en vous obligeant à vérifier les sommes sha256 d'un fichier alors que seul le fichier lui-même est signé. C'est pratique pour eux, mais cela demande plus de travail à leurs utilisateurs.

Par contre, lorsque le fichier a été généré juste par sha256sum * >SHA256SUMS, vous pouvez le vérifier sha256 -cet l’obtenir OK/Bad/Not-Founden sortie.


2

Vérifiez /proc/net/devet voyez combien de mauvaises trames TCP vous avez reçues jusqu'à présent. Si vous voyez une valeur à un chiffre (espérons un zéro), lisez la suite. Si vous avez beaucoup ou des erreurs réseau, utilisez certainement MD5 pour vérifier vos téléchargements (bien que je préfère en rechercher la cause, car un réseau peu fiable signifie que vous ne pouvez faire confiance à rien de ce que vous recevez via HTTP).

Lorsque vous effectuez un téléchargement sur TCP qui contrôle toutes les données transmises, il y a très peu de chance qu'un téléchargement corrompu ait exactement la même taille. Si vous êtes sûr de télécharger à partir du site officiel (normalement si vous utilisez HTTPS et que la vérification du certificat réussit), il est généralement suffisant de vérifier que le téléchargement est terminé. De toute façon, de bons navigateurs Web vérifient généralement pour vous, en disant "échec du téléchargement" s'ils n'obtiennent pas la quantité de données attendue, même si j'ai déjà vu des navigateurs décider de conserver le fichier incomplet sans rien dire. à l'utilisateur, auquel cas vous pouvez vérifier la taille du fichier manuellement.

Bien sûr, la vérification d'une somme de contrôle a toujours sa valeur, car elle vous protège dans les cas où le fichier que vous téléchargez est corrompu sur le serveur, mais cela n'arrive pas trop souvent. Néanmoins, si vous utilisez votre téléchargement pour quelque chose d'important, c'est une étape qui mérite d'être franchie.

Comme @sudodus l'a dit dans les commentaires, utiliser Bittorrent au lieu de HTTPS est une autre option, car les clients torrent font un bien meilleur travail lorsqu'ils traitent des données incomplètes / corrompues comme le font les navigateurs Web.

Notez que les sommes de contrôle ne vous empêchent pas vraiment d'être attaqué, c'est à cela que sert HTTPS.


5
La somme de contrôle TCP n'est pas assez importante pour un fichier aussi gros qu'un fichier ISO. Ce n'est que 16 bits; sur un lien bruyant, il y a de fortes chances que de la corruption soit passée.
Marc

1
@Marque pour une grande ISO, il y aura de nombreuses sommes de contrôle TCP: une pour chaque segment TCP individuel requis pour transmettre les données.
Anthony G - justice pour Monica le

3
@ AnthonyGeoghegan, exactement. Chaque segment a une chance indépendante d'être corrompu, et compte tenu du nombre de segments impliqués dans un fichier ISO, il y a de bonnes chances que l'un d'eux soit corrompu d'une manière qui corresponde toujours à la somme de contrôle de ce segment.
Marc

1
@ Mark pouvez-vous vérifier votre / proc / net / dev et dire combien de mauvaises trames TCP vous avez reçues? Mon ordinateur a 0, avec un temps de disponibilité de 140 jours. Si je ne me trompe pas, un équipement Ethernet certifié en Gigabit fournit un taux d'erreur sur les bits de 10 ^ -10 ou supérieur. Bien sûr, tout dépend de ce que vous appelez une "bonne chance" ...
Dmitry Grigoryev

1
@ Mark Quel type de couche 2 utilisez-vous sans CRC ou similaire? Avec Ethernet, vous obtenez les contrôles CRC et la somme de contrôle TCP. Je n'ai pas fait le calcul pour celui-là, mais je ne vois pas comment vous y arriverez avec de "très bonnes chances".
Voo le

0

J'ai découvert le moyen difficile de ne pas vérifier la somme. Je graverais un CD avec un ISO qui aurait été corrompu pendant un téléchargement et je ne pouvais pas le faire démarrer ou il y avait des erreurs lors de son exécution.

Comme le disent les autres, cela prend peu de temps.


La pire chose à propos de cette expérience est que si vous gravez à nouveau l'ISO, vous obtenez la même erreur sur le CD
thomasrutter

1
C'est pourquoi j'utilise des CD et des DVD RW. :-)
Fixit7 le

7
Je n'ai jamais écrit de CD / DVD pendant plus de dix ans. Il ne vaut pas le temps d'écrire et d'acheter quand il y a des tonnes de
clés USB

0

Vous le voyez avec un seul cas d'utilisation, dans une configuration avec une automatisation de masse, il est utile de le faire vérifier. scripts qui exécutent la vérification, avant de continuer avec ce que nous devons faire avec l'image


0

Les autres ont donné des réponses avec des détails techniques que j'avais oubliés bien que je sois programmeur (mon travail n'implique pas de communication sur des réseaux), je vais donc simplement vous faire connaître une expérience personnelle.

Il y a longtemps , lorsque je gravais fréquemment des CD, il m'est déjà arrivé d'avoir téléchargé cet ISO de distribution Linux qui semblait avoir été téléchargé correctement. Le CD m'a échoué, j'ai donc vérifié le fichier téléchargé et il ne correspondait pas. Donc, j'ai téléchargé à nouveau et cela a fonctionné. Donc, cela ne s'est produit qu'une fois en 15 ans depuis que je suis un utilisateur avancé en programmation (j'utilise des ordinateurs depuis l'âge de 11 ans, il y a 19 ans et j'ai gravé plus d'un millier de disques). Mais c'est la preuve que cela peut arriver.

Cela m'est également arrivé une ou deux fois par le biais de BitTorrent, donc ce n'est pas non plus sans faille. En forçant la revérification du fichier téléchargé, il a identifié la pièce corrompue.

Ma conclusion est que HTTP (s'appuyer sur TCP) est peut-être aussi sûr qu'il peut être, mais Internet signifie qu'il y a des nœuds intermédiaires entre votre appareil et le serveur, et rien ne dit ce qui peut arriver en cours de route (des paquets sont même perdus toutes les et parfois, les ordinateurs ne peuvent pas dire que les données sont fausses, je suppose.

Personne ne peut dire si cela vaudrait la peine pour vous - cela dépend du contexte et je suis sûr que vous pouvez en juger par vous-même. Pour moi, ça ne vaut pas la plupart du temps. Si j’allais installer un système d’exploitation, je vérifierais l’image téléchargée auparavant.

Remarque: le fait que j’ai remarqué une ou deux fois seulement un téléchargement corrompu ne signifie pas qu’il ne s’est produit qu’alors. Peut-être que d'autres fois, cela ne vous gênera pas et vous ne le remarquerez pas.

EDIT: J'ai même eu des programmeurs plus expérimentés au travail qui ont argumenté (avec une certaine indignation même) que ces hachages de vérification de l'intégrité des données permettent de savoir si un fichier est identique au bit original, mais je sais (j'ai lu) que le fait que deux fichiers donnent le même hachage ne signifie pas qu'ils sont identiques, cela signifie simplement qu'il est extrêmement improbable qu'ils soient différents. Leur utilité est que lorsque les fichiers ne sont pas identiques, et en particulier quand ils sont très différents, les codes de hachage qui en résultent ne seront pratiquement jamais les mêmes (il est encore moins probable que ce test échoue). En moins de mots - si les codes de hachage sont différents, vous savez que les fichiers sont différents.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.