왜 Raspbian 파일 이미지의 SHA256이 웹 사이트에 표시된 것과 일치하지 않습니까?

10

Raspbian을 다운로드 할 때마다 (마지막으로 Raspbian Stretch를 사용하여) SHA256을 확인하려고합니다. 그러나 결과가 웹 사이트의 결과와 다를 때마다 다운로드가 성공적이고 조작되지 않은 것이 확실합니다.

왜 그런 겁니까? 내가 잘못 계산하고 있습니까?

OSX에서 마지막으로 명령으로 sha256을 생성했을 때 shasum -a 256 2018-06-27-raspbian-stretch.img

raspbian-stretch 
프란체스코 보이
소스
3
참고- "다운로드가 성공했으며 조작하지 않은 것이 확실합니다." -아니야
user253751 2018 년
2
확인한다고 주장하는 파일과 동일한 채널에서 해시를 얻는 경우 실제로는 체크섬입니다 (실수로 손상된 것을 감지). 이미지를 대체 할 수있는 공격자는 해시를 일치하도록 수정할 수도 있습니다.
Jeffrey Bosboom
@immibis 아니요 당신은 옳습니다. 한 가지 특별한 경우는 아니지만 sha256이 일치하지 않을 때마다 다운로드 할 때마다 공격을받는 것보다 계산 방법이 잘못되었을 가능성이 있습니다. 네트워크와 다른 모든 것 .... 적어도 나는 그렇게 생각하지 않으면 매번 공격을 받고 있다고 생각하지만 그 편집증은 아닙니다
Francesco Boi

답변:

31

다운로드 페이지의 SHA-256 체크섬은 IMG 파일이 아닌 ZIP 파일 용입니다.

단도
소스
OSX가 zip 파일을 직접 추출하여 zip으로 다운로드받지 못했기 때문에 혼란 스럽습니다.
Francesco Boi
.zip 파일은 컨텐츠가 추출 된 위치의 상위 폴더에 있습니다. 이것도 익숙해지기까지 시간이 걸렸습니다. :)
Jules
11
참고 : 제공된 체크섬은 일반적 으로 다운로드 한 아카이브 / 컨테이너 내의 파일이 아니라 다운로드 한 파일에 대해 직접적 으로 제공 됩니다.
Michael Pittino
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.