当下载提供商不发布哈希值时如何验证软件的完整性?

当下载提供商不发布哈希值时如何验证软件的完整性?

我注意到现在某些软件不再提供哈希值。

例如

  1. 飞涨

https://zoom.us/download

wolf@linux:~$ ls -lh zoom_amd64.deb 
-rw-rw-r-- 1 wolf wolf 44M Jan   1 00:00 zoom_amd64.deb
wolf@linux:~$ 

我用 google 搜索了 md5 和 sha256 哈希值,但找不到它。

wolf@linux:~$ md5sum zoom_amd64.deb 
5f452b11d86d41e108a32f6a7d86c6dc  zoom_amd64.deb
wolf@linux:~$ 
wolf@linux:~$ sha256sum zoom_amd64.deb 
b06bc30a53ac5d3feb624e536c86394ccb9ac5fc8da9bd239ef48724138e9fc1  zoom_amd64.deb
wolf@linux:~$ 
  1. 微软团队

https://www.microsoft.com/en-my/microsoft-teams/download-app#desktopAppDownloadregion

wolf@linux:~$ ls -lh teams_1.3.00.30857_amd64.deb 
-rw-rw-r-- 1 wolf wolf 73M Jan  20 09:07 teams_1.3.00.30857_amd64.deb
wolf@linux:~$ 
wolf@linux:~$ md5sum teams_1.3.00.30857_amd64.deb 
3d738e013804b96f401bd274db4069d1  teams_1.3.00.30857_amd64.deb
wolf@linux:~$ 
wolf@linux:~$ sha256sum teams_1.3.00.30857_amd64.deb 
5058b1fe8bf9fffc57d94148a7ec55119c5cd9b21aa267cb13518bec0244241b  teams_1.3.00.30857_amd64.deb
wolf@linux:~$ 

我们如何验证这样的软件以确保没有人篡改过它?

答案1

我认为你需要直接询问 Zoom 为什么他们不提供哈希和/或签名版本。 DEB包本身仍然包含所有文件的md5和但这主要用于安装后验证,而不是防止恶意意图。请注意,发布 tarball 的哈希值也无济于事 - 如果有人设法在 Zoom 服务器上放置“假”tarball/包,他们也可以在那里放置假哈希值。哈希值通常用于确保 tarball 或包(或发行版的 ISO)在下载过程中没有损坏。签名版本提供了某种“安全性”,但您仍然存在获取公钥来验证通常从同一来源获得的签名的问题。

顺便提一句。 Zoom 是闭源的,恕我直言,闭源项目通常不会这样做。我们应该很高兴他们提供 RPM 和 DEB 软件包:-)

相关内容