Dlaczego SHA256 obrazu pliku Raspbian nigdy nie odpowiada wskazanemu na stronie internetowej?

Za każdym razem, gdy pobieram Raspbian (ostatni raz Raspbian Stretch z komputerem), próbuję zweryfikować SHA256. Jednak za każdym razem wynik jest inny niż na stronie internetowej, chociaż jestem pewien, że pobieranie zakończyło się powodzeniem i bez manipulacji.

Dlaczego? Czy obliczam w niewłaściwy sposób?

Ostatnim razem wygenerowałem sha256 na OSX za pomocą polecenia shasum -a 256 2018-06-27-raspbian-stretch.img

raspbian-stretch

— Francesco Boi
źródło

uwaga dodatkowa - „Jestem pewien, że pobieranie zakończyło się powodzeniem i bez manipulacji”. - nie, nie jesteś.

— user253751,

Jeśli otrzymujesz skrót z tego samego kanału, co plik, który ma zweryfikować, w rzeczywistości jest to tylko suma kontrolna (wykrywanie przypadkowego uszkodzenia). Osoba atakująca, która może zastąpić obraz, może również zmodyfikować skrót, aby pasował.

— Jeffrey Bosboom

@immibis Nie masz racji, nie jestem w żadnej szczególnej okazji, ale jeśli za każdym razem sha256 nie odpowiada, jest bardziej prawdopodobne, że coś jest nie tak z tym, jak go obliczam, niż że jestem atakowany przy każdym pobieraniu w różnych sytuacjach z różnymi sieci i wszystko inne ... Przynajmniej tak sądzę, inaczej musiałbym myśleć, że za każdym razem jestem atakowany, ale nie jestem aż tak paranoiczny

— Francesco Boi

Suma kontrolna SHA-256 na stronie pobierania dotyczy pliku ZIP, a nie pliku IMG.

— Sztylet
źródło

Zdezorientowało mnie to, ponieważ wydaje się, że OSX wyodrębnia bezpośrednio plik zip, więc nie dostałem, że został pobrany jako zip.

— Francesco Boi,

Plik .zip znajduje się w folderze nadrzędnym lokalizacji, do której wyodrębniono zawartość. Zajęło mi to także trochę czasu. :)

— Jules,

Sidenote: Podane sumy kontrolne są zasadniczo bezpośrednio dla pobranego pliku , a nie dla plików w pobranym archiwum / kontenerze.

— Michael Pittino,