Стоит ли проверять ISO, загруженные с официального сайта?

Да, ОЧЕНЬ РЕКОМЕНДУЕТСЯ , чтобы вы проверили загруженное изображение, вот несколько причин:

• Всего несколько секунд, и вы можете сказать, что целостность файл правильный, я имею в виду, файл не поврежден. (Распространенной причиной повреждения является ошибка передачи из-за технических причин, таких как ненадежное подключение к Интернету из комментария @sudodus.)
• Если файл поврежден и вы записали этот ISO-образ на CD / USB-накопитель, и он не будет работать, или во время установки может произойти сбой, это приведет к пустой трате времени и компакт-дисков.
• Вы уверены, что используете официальную версию CLEAN любого вида ISO-образа или программного обеспечения, а не модифицированную версию (возможно, злоумышленниками), см. Этот отчет: Наблюдение за пиратами Dogs, попавшими в ловушку биткойнов-майнинга вредоносное ПО

Если у вас уже есть дистрибутив GNU Linux, вы можете использовать md5sum , если вы в Windows, вы можете использовать: WinMD5Free .

Надеюсь, это поможет.

Да, но Ubuntu, кажется, усложняет ситуацию.

В лучшем случае вы просто скачали бы foo.iso и foo.iso.sig и щелкнули файл .sig (или использовали gpg на оболочке в файле .sig) после того, как один раз импортировали ключ. Это стоит несколько секунд.

Ubuntu, кажется, усложняет задачу, заставляя вас проверять суммы sha256 из файла, пока подписан только сам файл. Это удобно для них, но больше работы для их пользователей.

С другой стороны, когда файл был сгенерирован только с помощью sha256sum * >SHA256SUMS, вы можете проверить его, используя sha256 -c и получить OK/Bad/Not-Found в качестве вывода.

Проверьте /proc/net/dev и посмотрите, сколько плохих TCP-кадров вы уже получили. Если вы видите однозначное значение (возможно, ноль), читайте дальше. Если у вас много или сетевые ошибки, то обязательно используйте MD5 для проверки ваших загрузок (хотя я бы предпочел выяснить основную причину, поскольку ненадежная сеть означает, что вы не можете доверять ничему, что вы получаете через HTTP).

Когда вы скачиваете через TCP, который проверяет контрольные суммы всех передаваемых данных, очень мало шансов получить поврежденную загрузку с точно таким же размером. Если вы уверены, что скачиваете с официального сайта (как правило, если вы используете HTTPS и проверка сертификата проходит успешно), обычно достаточно проверить, что загрузка завершена. Достойные веб-браузеры обычно все равно проверяют вас, говоря что-то вроде «сбой загрузки», если они не получают ожидаемый объем данных, хотя я видел браузеры, которые просто решили сохранить неполный файл, ничего не сказав пользователю, и в этом случае вы можете проверить размер файла вручную.

Конечно, проверка контрольной суммы по-прежнему имеет свое значение, охватывая вас в случаях, когда загружаемый вами файл поврежден на сервере, но это происходит не слишком часто. Тем не менее, если вы собираетесь использовать свою загрузку для чего-то важного, это шаг, который стоит предпринять.

Как сказал @sudodus в комментариях, использование Bittorrent вместо HTTPS является еще одним вариантом, поскольку торрент-клиенты гораздо лучше справляются с неполными / поврежденными данными, чем веб-браузеры.

Обратите внимание, что контрольные суммы на самом деле не предотвращают вашу атаку, для этого и нужен HTTPS.

Другие дали ответы с техническими подробностями, которые я забыл, хотя я программист (моя работа не связана с общением по сетям), поэтому я просто хочу рассказать вам о личном опыте.

Давным-давно назад, когда я часто записывал компакт-диски, однажды мне довелось загрузить этот ISO-дистрибутив Linux, который, похоже, загрузился правильно. CD не помог мне, поэтому я проверил загруженный файл, и он не совпадал. Итак, я скачал снова, и это сработало. Таким образом, это произошло только один раз за 15 лет, так как я был опытным пользователем компьютера и программировал (использую компьютеры с 11, 19 лет назад, и я записал более тысячи дисков). Но это доказательство того, что это может произойти.

Это также случалось со мной через BitTorrent один или два раза, так что это также не является отказоустойчивым. При принудительной повторной проверке загруженного файла он обнаружил поврежденную часть.

Я пришел к выводу, что HTTP (полагаясь на TCP) может быть настолько безопасным, насколько это возможно, но Интернет означает, что между вашим устройством и сервером существуют промежуточные узлы, и нет никаких сведений о том, что может произойти в пути (пакеты даже потерял все время), и иногда компьютеры не могут сказать, что данные неверны, я думаю.

Никто не может ответить, будет ли это стоить вам неприятностей - это зависит от контекста, и я уверен, что вы можете судить об этом сами. Для меня это не стоит большую часть времени. Если бы я собирался установить ОС, я бы проверил загруженный образ раньше.

Примечание: тот факт, что я только один или два раза заметил поврежденную загрузку, не означает, что это произошло только тогда. Может быть, в других случаях это не мешает, поэтому вы не замечаете.

РЕДАКТИРОВАТЬ: У меня даже были другие более опытные программисты на работе, утверждающие (даже с некоторым негодованием), что эти хэши проверки целостности данных позволяют знать , является ли файл бит-идентичным оригиналу, но я знаю (я читал), что тот факт, что два файла приводят к одному и тому же хешу, не означает, что они идентичны - это просто означает, что крайне маловероятно, что они различаются. Они полезны тем, что когда файлы не идентичны, особенно когда они сильно различаются, их результирующие хэш-коды практически никогда не будут одинаковыми (еще менее вероятно, что этот тест не пройдёт). Меньше слов - если хеш-коды разные, вы знаете, что файлы разные.

Вы видите это только с одним вариантом использования, в установке с массовой автоматизацией это помогает проверить его; скрипты, которые запускают проверку, прежде чем приступить к тому, что когда-либо нам нужно делать с изображением

Я нашел трудный способ не проверять суммирование. Я записывал компакт-диск с ISO-образом, который был поврежден во время загрузки и не мог загрузить его, или он имел ошибки при запуске.

Как и другие говорили, это занимает мало времени.