Pourquoi l'image du fichier SHA256 de Raspbian ne correspond-elle jamais à celle indiquée sur le site?

10

Chaque fois que je télécharge Raspbian (la dernière fois Raspbian Stretch avec le bureau), j'essaie de vérifier SHA256. Cependant, chaque fois que le résultat est différent de celui du site Web, bien que je sois certain que le téléchargement a réussi et sans manipulation.

Pourquoi donc? Suis-je en train de mal calculer?

La dernière fois que j'ai généré le sha256 sur OSX avec la commande shasum -a 256 2018-06-27-raspbian-stretch.img

Francesco Boi
la source
3
note latérale - "Je suis sûr que le téléchargement a réussi et sans manipulation." - non tu ne l'es pas.
user253751
2
Si vous obtenez le hachage du même canal que le fichier qu'il prétend vérifier, ce n'est en fait qu'une somme de contrôle (détection d'une corruption accidentelle). Un attaquant qui pourrait remplacer l'image pourrait également modifier le hachage pour qu'il corresponde.
Jeffrey Bosboom
@immibis Non, vous avez raison, je ne suis pas dans une occasion particulière, mais si chaque fois que le sha256 ne correspond pas, il est plus probable que quelque chose ne va pas dans la façon dont je le calcule plutôt que d'être attaqué à chaque téléchargement que je fais dans différentes situations avec différentes réseaux et tout différent .... Au moins je pense que oui sinon je devrais penser que je suis attaqué à chaque fois mais je ne suis pas si paranoïaque
Francesco Boi

Réponses:

31

La somme de contrôle SHA-256 sur la page de téléchargements est pour le fichier ZIP, pas le fichier IMG.

Poignard
la source
Cela m'a dérouté car il semble qu'OSX extrait directement le fichier zip, donc je ne l'ai pas téléchargé.
Francesco Boi
Vous constaterez que le fichier .zip se trouve dans le dossier parent de l'emplacement où le contenu a été extrait. Cela m'a pris un certain temps pour m'y habituer aussi. :)
Jules
11
Sidenote: Les sommes de contrôle fournies sont en général directement pour le fichier téléchargé , pas pour les fichiers à l' intérieur d' une archive / conteneur téléchargé.
Michael Pittino