假设我想获取 CentOS 的 ISO 映像。如果我不直接从镜像服务器下载 ISO 映像,而是从同一台服务器下载 .torrent 文件,然后使用 BitTorrent 客户端,那么映像是否有可能被故意损坏?
答案1
只要您从可信来源获取 torrent 文件,就不可能损坏图像。
torrent 文件包含足够的信息来安全地验证最终图像的每个块。当您的客户端收到图像文件的每个块时,它会根据 torrent 文件中的哈希集(或 Merkle 树)对其进行验证。无效的块将被丢弃并从其他来源再次获取。继续向您发送无效数据的来源将被列入黑名单。
然而,通过创建大量提供损坏数据块的虚假客户端,可以使得下载 torrent 文件变得非常困难。客户端将丢弃每个损坏的数据块,并尽可能快地将虚假客户端列入黑名单。但如果攻击者足够坚定,这仍然会使下载 torrent 文件的速度变得异常缓慢。
请参阅维基百科文章Torrent 文件,特别是pieces或root hash键。
答案2
torrent 的优势在于 512 字节块可能会损坏,但由于它来自不同的来源,一个损坏的 512 字节块不会导致整个 600MB 的文件损坏。相反,损坏的 512 字节的 MD5 和会被丢弃,并从备用路由对等体获取。这允许 torrent 的固有优势下载,准确地下载大型文件。
这意味着,来自真实来源的 torrent 服务器列表(尤其是通过 HTTPS)总是具有 1:1 的信任值。
当然,您必须始终检查 MD5 或 SHA1(或其他哈希值)以验证下载文件的真实准确性。
根据 Tails Linux (tails.boum.org) 的建议,您应该(如果对此非常偏执)反复下载相同的文件以确保您能够生成相同的 MD5/SHA1 哈希值,以信任您下载 Torrent 操作文件的服务器。