为什么我们需要使用两种工具来验证ISO,是否有特定的事项需要考虑?
md5sum
和sha256sum
是分别实现MD5和SHA-256哈希算法的程序。程序md5sum旨在使用MD5(消息摘要算法5)128位加密哈希来验证数据完整性。正确使用MD5哈希可以确认文件的完整性和真实性。MD5哈希必须经过签名或来自您信任的组织的安全来源(HTTPS页面)。尽管发现了MD5算法的安全漏洞,但在您信任生产它们的组织时,MD5哈希仍然很有用。程序sha256sum旨在使用SHA-256(具有256位摘要长度的SHA-2系列)验证数据完整性。正确使用的SHA-256哈希可以确认文件的完整性和真实性。SHA-256与Ubuntu推荐的先前算法MD5类似,但更不容易受到攻击。就安全性而言,诸如SHA-256之类的加密哈希允许对从不安全镜像获取的数据进行身份验证。
除了使用md5sum
验证外,还可以使用上述所述的sha1和sha256校验和。
假设你从releases网站下载或者通过种子下载最新的ISO文件,比如Raring。请注意,在顶部有一个名为SHA1SUMS的文件,以及一个SHA256SUMS文件,每个文件都有一个长数字对应每个.iso文件。
一旦你完成了.iso文件的下载,你可以计算其sha1或sha256校验和来确保它与SHA1SUMS文件中的值相匹配。你可以使用rhash来进行这个操作。
首先要安装它。如果是在Ubuntu上:
sudo apt-get install rhash
对于其他操作系统,您可以在这里下载。
然后计算您下载的文件的SHA1或SHA256校验和。例如,对于我下载的ubuntu-13.04-desktop-amd64.iso
:
$ rhash --sha1 ubuntu-13.04-desktop-amd64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8 ubuntu-13.04-desktop-amd64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-amd64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8 ubuntu-13.04-desktop-amd64.iso
$
rhash --md5 ubuntu-13.04-desktop-amd64.iso
并与MD5SUMS文件进行比较。MD5和SHA-2是不同的哈希算法。由开发人员决定使用什么作为检查数据完整性的简便方法。
在这种情况下,它们被用来“实现”相同的目标,但结果(哈希值)完全不同。