Por que a imagem do arquivo SHA256 do Raspbian nunca corresponde à indicada no site?

10

Sempre que faço o download do Raspbian (da última vez com o Raspbian Stretch na área de trabalho), tento verificar o SHA256. No entanto, sempre que o resultado é diferente daquele no site, embora eu tenha certeza de que o download foi bem-sucedido e sem manipulação.

Por que é que? Estou calculando de maneira errada?

A última vez que gerou o sha256 no OSX com o comando shasum -a 256 2018-06-27-raspbian-stretch.img

Francesco Boi
fonte
3
nota lateral - "Tenho certeza de que o download foi bem-sucedido e sem manipulação". - não, você não é.
user253751
2
Se você está obtendo o hash do mesmo canal que o arquivo que ele afirma verificar, na verdade é apenas uma soma de verificação (detectando corrupção acidental). Um invasor que pode substituir a imagem também pode modificar o hash para corresponder.
Jeffrey Bosboom
@immibis Não, você está certo, eu não estou em uma ocasião específica, mas se toda vez que o sha256 não corresponde é mais provável que algo não esteja certo na maneira como eu o calculo, em vez de ser atacado em cada download que faço em diferentes situações com diferentes redes e diferente de tudo .... pelo menos eu penso assim, caso contrário eu teria que pensar que eu sou sob ataque cada vez, mas eu não sou tão paranóica
Francesco Boi

Respostas:

31

A soma de verificação SHA-256 na página de downloads é para o arquivo ZIP, não para o arquivo IMG.

Dirk
fonte
Isso me confundiu porque parece que o OSX extrai diretamente o arquivo zip, então eu não entendi o download foi feito como zip.
Francesco Boi
Você encontrará o arquivo .zip na pasta pai do local para o qual o conteúdo foi extraído. Levei um tempo para me acostumar também. :)
Jules
11
Nota: As somas de verificação fornecidas geralmente são diretamente para o arquivo baixado , não para arquivos dentro de um arquivo / contêiner baixado.
Michael Pittino