Dlaczego SHA256 obrazu pliku Raspbian nigdy nie odpowiada wskazanemu na stronie internetowej?

10

Za każdym razem, gdy pobieram Raspbian (ostatni raz Raspbian Stretch z komputerem), próbuję zweryfikować SHA256. Jednak za każdym razem wynik jest inny niż na stronie internetowej, chociaż jestem pewien, że pobieranie zakończyło się powodzeniem i bez manipulacji.

Dlaczego? Czy obliczam w niewłaściwy sposób?

Ostatnim razem wygenerowałem sha256 na OSX za pomocą polecenia shasum -a 256 2018-06-27-raspbian-stretch.img

raspbian-stretch Francesco Boi
źródło
3
uwaga dodatkowa - „Jestem pewien, że pobieranie zakończyło się powodzeniem i bez manipulacji”. - nie, nie jesteś.
user253751,
2
Jeśli otrzymujesz skrót z tego samego kanału, co plik, który ma zweryfikować, w rzeczywistości jest to tylko suma kontrolna (wykrywanie przypadkowego uszkodzenia). Osoba atakująca, która może zastąpić obraz, może również zmodyfikować skrót, aby pasował.
Jeffrey Bosboom
@immibis Nie masz racji, nie jestem w żadnej szczególnej okazji, ale jeśli za każdym razem sha256 nie odpowiada, jest bardziej prawdopodobne, że coś jest nie tak z tym, jak go obliczam, niż że jestem atakowany przy każdym pobieraniu w różnych sytuacjach z różnymi sieci i wszystko inne ... Przynajmniej tak sądzę, inaczej musiałbym myśleć, że za każdym razem jestem atakowany, ale nie jestem aż tak paranoiczny
Francesco Boi

Odpowiedzi:

31

Suma kontrolna SHA-256 na stronie pobierania dotyczy pliku ZIP, a nie pliku IMG.

Sztylet
źródło
Zdezorientowało mnie to, ponieważ wydaje się, że OSX wyodrębnia bezpośrednio plik zip, więc nie dostałem, że został pobrany jako zip.
Francesco Boi,
Plik .zip znajduje się w folderze nadrzędnym lokalizacji, do której wyodrębniono zawartość. Zajęło mi to także trochę czasu. :)
Jules,
11
Sidenote: Podane sumy kontrolne są zasadniczo bezpośrednio dla pobranego pliku , a nie dla plików w pobranym archiwum / kontenerze.
Michael Pittino,