为什么我们需要两个工具来验证 ISO。它们之间有什么具体的事情需要考虑吗?
答案1
简短回答:对于验证 ISO,没有实际区别,使用任何你想要的,只要您信任提供金额的来源。MD5 是/曾经是标准,但计算机世界正朝着采用 SHA 的方向发展,因为它对未来来说更新、更好;因此,SHA 和通常作为替代方案提供。
md5sum和sha256sum分别是实现 MD5 和 SHA-256 哈希算法的程序- 一般来说,哈希算法接受任意长度的输入,并对其进行数学计算,以产生相对较小的固定长度的输出,称为“哈希”(或“总和”)
- 验证数据完整性(例如 ISO)只是哈希的众多用途之一
- 这主要区别旧版 MD5 和新版 SHA-256 哈希值之间的区别在于,MD5 产生 128 位输出,而 SHA-256 产生 256 位输出
- 为了验证数据(ISO)正常工作,数据的哈希值必须有效且唯一,以便没有其他数据产生相同的 MD5 和或 SHA-256 和。
- 从理论上来说,这是可能的,即两组输入数据产生相同的输出哈希值,称为“碰撞”。
- 与 MD5 相比,SHA-256 发生此类冲突的可能性较低,因为其 256 位哈希值是 MD5 128 位哈希值的两倍。
- 在实践中,考虑到 ISO 的大小超过 100 MB,即使使用 MD5,验证 ISO 时发生冲突的概率也为零。
- 尽管如此,由于计算机世界正在转向 SHA,因为它是未来更新、“更好”的哈希算法,因此 ISO 校验和通常以多种格式提供。
答案2
sha256sum 程序旨在使用 SHA-256(摘要长度为 256 位的 SHA-2 系列)验证数据完整性。正确使用 SHA-256 哈希可以确认文件的完整性和真实性SHA-256 的作用与 Ubuntu 推荐的先前算法 MD5 类似,但不容易受到攻击. 在安全方面,SHA-256 等加密哈希允许对从不安全镜像获得的数据进行身份验证。
md5sum 程序旨在使用 MD5(消息摘要算法 5)验证数据完整性128 位加密哈希。正确使用 MD5 哈希可以确认文件的完整性和真实性。MD5 哈希必须经过签名或来自您信任的组织的安全来源(HTTPS 页面)。 尽管MD5 算法的安全漏洞已被发现,当您信任生成 MD5 哈希值的组织时,MD5 哈希值仍然有用。
基本上,这是安全方面的措施。如果您使用非官方镜像下载 ISO,那么可能两者都可用于确保文件的完整性。
答案3
MD5 和 SHA-2 是不同的哈希算法。开发人员可以决定使用哪种算法作为检查数据完整性的简便方法。
在这种情况下,它们用于“实现”同一件事,但结果(哈希)却完全不同。
答案4
验证的替代方法md5sum是如上所述的 sha1 和 sha256 总和。
假设你从发布网站,说咆哮。请注意,顶部有一个名为的文件SHA1SUMS以及ASASHA256SUMS,每个 .iso 文件都有一个长编号。
下载 .iso 文件后,您可以计算其 sha1 或 sha256 总和,以确保其与 SHA1SUMS 文件中的值匹配。您可以使用以下命令执行此操作拉什。
首先安装它。如果在 Ubuntu 上:
sudo apt-get install rhash
对于其他操作系统,您可以下载这里。
然后计算您下载的文件的 sha1 或 sha256 总和。例如,对于ubuntu-13.04-desktop-amd64.iso我下载的文件:
$ rhash --sha1 ubuntu-13.04-desktop-amd64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8 ubuntu-13.04-desktop-amd64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-amd64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8 ubuntu-13.04-desktop-amd64.iso
$
这些值分别与SHA1SUMS和SHA256SUMS文件,验证下载。
您还可以运行rhash --md5 ubuntu-13.04-desktop-amd64.iso并比较MD5SUMS文件。