Por ejemplo, el SHA256sum de una imagen ISO de Ubuntu, o una imagen amd64 de OpenBSD. ¿Hay algún sitio?
Es importante que el sitio use HTTPS o al menos debe proporcionar una comprobación de GPG para los hashes.
Por ejemplo, el SHA256sum de una imagen ISO de Ubuntu, o una imagen amd64 de OpenBSD. ¿Hay algún sitio?
Es importante que el sitio use HTTPS o al menos debe proporcionar una comprobación de GPG para los hashes.
Para ser completamente digno de confianza, el hash debe ser proporcionado por la misma persona que proporciona el producto. De hecho, no desea que alguien a quien no conoce calcule un hash, puede que tenga la intención de mentir, mientras que el proveedor que no lo hace.
HTTPS no es un requisito. Sin embargo, si quieres evitar un ataque de Man in the Middle, donde alguien podría engañarte al creer que obtienes el producto correcto con un hash correspondiente, entonces debes autenticar la fuente de donde obtuviste el hash. Como este es el validador de la integridad del producto, DEBE poder confiar en él. Para ese objetivo, HTTPS (SSl / TLS) es un medio para lograr la autenticación. Tiene la ventaja de confiar en un protocolo conocido, que obtiene su confianza de una cadena de certificados. Otra forma de hacerlo sería con una firma digital (como el signo GPG).
Por fin, ambos modelos son diferentes, pero tienen un problema común que debe resolverse para que exista la confianza. USTED debe confiar en alguien para hacer algún trabajo. En el caso de HTTPS, esta sería la Autoridad de Certificación cuyo certificado raíz está incrustado en su navegador, para la GPG sería la persona que le proporciona la clave pública del productor.
La Biblioteca Nacional de Referencia de Software es un catálogo de hashes válidos para sistemas operativos y archivos de aplicaciones. Esta lista puede utilizarse, por ejemplo, para validar los archivos del sistema operativo instalados en un sistema. Para citar de su sitio, "En la mayoría de los casos, los datos de archivos NSRL se usan para eliminar archivos conocidos, como el sistema operativo y los archivos de aplicaciones, durante las investigaciones forenses criminales".
No sé si incluye Ubuntu o OpenBSD, y su página de índice parece perdida en este momento.
Como señaló gowenfawr, la Biblioteca Nacional de Referencia de Software es una fuente útil para este enfoque. Y si bien hay riesgos de confiar en los sitios de hash de terceros, también hay ventajas de tener múltiples puntos de vista, especialmente para los hashes, que pueden modificarse fácilmente si el sitio web principal es hackeado. Esto es similar al enfoque que toma Convergencia : consulte Convergencia: ¿un reemplazo SSL? . Si los diferentes sitios no están de acuerdo con lo que debería ser un hash, eso alerta al usuario para que al menos lo verifique más a fondo.
En general, la compañía que entrega los archivos de imagen es la que proporciona los hashes. Por ejemplo, obtendrías el de Ubuntu de cualquiera de los espejos de Ubuntu.
Lea otras preguntas en las etiquetas hash