Я думал, что смысл распространения контрольных сумм md5 заключается в том, чтобы конечный пользователь мог проверить целостность загрузки.
Если сайт с высоким трафиком указывает мне на зеркальный сайт для загрузки, зачем мне проверять мою загрузку по контрольной сумме, которая предоставляется на зеркале?
Если кто-то собирался подделать двоичные файлы на зеркальном сайте, не могли бы они также подделать контрольные суммы? Разве авторитетный сайт не должен давать мне контрольную сумму перед загрузкой с зеркала, чтобы я мог сверяться с основным источником?
Вы правы в своих ожиданиях.
Проверьте этот пример в Apache .
И это ссылка на Ubuntu md5sum .
С точки зрения безопасности, криптографические хеши, такие как MD5, позволяют аутентифицировать данные, полученные с небезопасных зеркал.
Хэш MD5 должен быть подписан или получен из безопасного источника (страница HTTPS) организации, которой вы доверяете .
ну, это, по крайней мере, даст вам уверенность, что ваша копия точно такая же, как на зеркале.
Вы правы, что такая информация является бесполезной, если основной источник не предоставляет такую контрольную сумму
Обычно этические зеркала не хотят быть истолкованы как «поддельные». Они хотят быть зеркалами из-за видимости среди других преимуществ.
Они показывают контрольные суммы как авторский источник, чтобы придать им некоторую достоверность: «эй, мы рекомендуем вам проверить свои контрольные суммы, как говорится на официальном сайте!».
Я считаю, что это POV зеркала. Как пользователь, я обычно проверяю оба источника.
Что ж, вы можете проверить, была ли загрузка завершена успешно - контрольные суммы не просто защита от злонамеренного вмешательства - они также помогают проверить, был ли файл полностью и правильно загружен