我注意到现在某些软件不再提供哈希值。
例如
- 飞涨
wolf@linux:~$ ls -lh zoom_amd64.deb
-rw-rw-r-- 1 wolf wolf 44M Jan 1 00:00 zoom_amd64.deb
wolf@linux:~$
我用 google 搜索了 md5 和 sha256 哈希值,但找不到它。
wolf@linux:~$ md5sum zoom_amd64.deb
5f452b11d86d41e108a32f6a7d86c6dc zoom_amd64.deb
wolf@linux:~$
wolf@linux:~$ sha256sum zoom_amd64.deb
b06bc30a53ac5d3feb624e536c86394ccb9ac5fc8da9bd239ef48724138e9fc1 zoom_amd64.deb
wolf@linux:~$
- 微软团队
https://www.microsoft.com/en-my/microsoft-teams/download-app#desktopAppDownloadregion
wolf@linux:~$ ls -lh teams_1.3.00.30857_amd64.deb
-rw-rw-r-- 1 wolf wolf 73M Jan 20 09:07 teams_1.3.00.30857_amd64.deb
wolf@linux:~$
wolf@linux:~$ md5sum teams_1.3.00.30857_amd64.deb
3d738e013804b96f401bd274db4069d1 teams_1.3.00.30857_amd64.deb
wolf@linux:~$
wolf@linux:~$ sha256sum teams_1.3.00.30857_amd64.deb
5058b1fe8bf9fffc57d94148a7ec55119c5cd9b21aa267cb13518bec0244241b teams_1.3.00.30857_amd64.deb
wolf@linux:~$
我们如何验证这样的软件以确保没有人篡改过它?
答案1
我认为你需要直接询问 Zoom 为什么他们不提供哈希和/或签名版本。 DEB包本身仍然包含所有文件的md5和但这主要用于安装后验证,而不是防止恶意意图。请注意,发布 tarball 的哈希值也无济于事 - 如果有人设法在 Zoom 服务器上放置“假”tarball/包,他们也可以在那里放置假哈希值。哈希值通常用于确保 tarball 或包(或发行版的 ISO)在下载过程中没有损坏。签名版本提供了某种“安全性”,但您仍然存在获取公钥来验证通常从同一来源获得的签名的问题。
顺便提一句。 Zoom 是闭源的,恕我直言,闭源项目通常不会这样做。我们应该很高兴他们提供 RPM 和 DEB 软件包:-)