TexLive 中的安全问题:有人更改了校验和?

TexLive 中的安全问题:有人更改了校验和?

是否有人篡改了 CTAN 上 TexLive 安装的校验和文件?或者这只是服务器或下载问题?如果我在同一时间使用不同的 IP 地址(或在一天中的不同时间)重复下载校验和文件,则校验和和/或其签名文件会有所不同。实际安装文件似乎保持不变。

您也可以确认这个问题吗?如果是,我可以在哪里报告这个问题?这个问题可能是什么原因造成的?

细节:TexLive 的 CTAN 页面,从 2023-09-18 下载安装文件的校验和(和签名)。也可以使用 VPN 或 TOR 执行此操作。根据您通过哪个 IP 地址下载(或在一天中的什么时间),您可能会注意到校验和文件包含不同的哈希码或签名文件不同(这导致某些校验和文件的签名无效)。

例如:我刚刚用 Firefox 下载了三次install-tl.zip.sha512并进行了签名install-tl.zip.sha512.asc:正常下载、使用 VPN 和使用 TOR 浏览器。只有第二种情况一切正常。在其他两种情况下,校验和文件有误或签名有误。

第一种情况(未使用 VPN 下载):签名无效(但与第二种情况相同),且install-tl.zip.sha512内容如下(错误):

c2bb496141db1ba17166e34a5f1c64b90ee69919dcf0212967926a358d390ec35359c9ae1d8d774ffeb16db7d455aaaf0b5872bdf5a7fe87a1c17304eb0dfb35  install-tl.zip

第二种情况(使用VPN下载):签名正确,install-tl.zip.sha512内容如下(正确):

1cbd4eb3a912198334510ee1ef7b6f8b3c4a6af4016eb4ed79755eac4374478d87a96998865f8a2ac008e3376812c0f5f4a7440aa46256d0081121299ebcf20b  install-tl.zip

第三种情况(通过TOR下载):签名无效(与第一种和第二种情况不同),但是内容install-tl.zip.sha512是正确的:

1cbd4eb3a912198334510ee1ef7b6f8b3c4a6af4016eb4ed79755eac4374478d87a96998865f8a2ac008e3376812c0f5f4a7440aa46256d0081121299ebcf20b  install-tl.zip

每次,我都会下载实际的软件包install-tl.zip,并且在这三种情况下都是相同的(其校验和始终与情况 2 和 3 相同)。我进行了几次测试,有时在第一种情况下一切正常。

进一步的想法:在我看来,下载的内容不仅仅是损坏,因为校验和文件已经被非常精确地修改了:对应于哈希码的部分完全不同,而之后的空白处以及对应于文件名的部分保持完全相同。

答案1

简而言之: 签名文件与校验和文件不匹配,因为这两个文件是从两个不同的服务器下载的,文件版本也不同。

解释: 当您从下载加拿大运输安全局,您实际上是从自动选择的镜像下载的。因此,当您下载多个文件时,可能会出现每个文件都来自另一个镜像的情况。

由于镜像的更新时间不同,因此可能会出现镜像托管不同版本的文件的情况。

就我的情况而言,当我下载校验和及其应为签名的文件时,这两个文件来自两个不同的镜像,其中一个镜像包含文件的旧版本。因此,签名实际上是不同版本的校验和文件的签名,与我下载的校验和文件不匹配。

绕过该问题,只需确保从同一镜像下载所有文件即可。在 CTAN 页面上,您可以手动选择镜像

相关内容