Perché l'immagine del file SHA256 di Raspbian non corrisponde mai a quella indicata sul sito Web?

Ogni volta che scarico Raspbian (l'ultima volta che Raspbian Stretch con il desktop) provo a verificare SHA256. Tuttavia, ogni volta che il risultato è diverso da quello sul sito Web, anche se sono abbastanza sicuro che il download sia andato a buon fine e senza manipolazione.

Perché? Sto calcolando in modo sbagliato?

L'ultima volta che ho generato sha256 su OSX con il comando shasum -a 256 2018-06-27-raspbian-stretch.img

raspbian-stretch

— Francesco Boi
fonte

nota a margine - "Sono abbastanza sicuro che il download sia andato a buon fine e senza manipolazione." - no non lo sei.

— user253751

Se ricevi l'hash dallo stesso canale del file che afferma di verificare, in realtà è solo un checksum (rilevamento di corruzione accidentale). Un utente malintenzionato che potrebbe sostituire l'immagine potrebbe anche modificare l'hash in modo che corrisponda.

— Jeffrey Bosboom,

@immibis No, hai ragione, non sono in un'occasione particolare, ma se ogni volta che lo sha256 non corrisponde è più probabile che qualcosa non vada nel modo in cui lo sto calcolando piuttosto che essere attaccato ad ogni download che faccio in diverse situazioni con differenti reti e tutto diverso .... Almeno penso di sì, altrimenti dovrei pensare di essere sotto attacco ogni volta ma non sono così paranoico

— Francesco Boi,

Il checksum SHA-256 nella pagina dei download è relativo al file ZIP, non al file IMG.

— pugnale
fonte

Mi ha confuso perché sembra che OSX estragga direttamente il file zip, quindi non ho capito che è stato scaricato come zip.

— Francesco Boi,

Troverai il file .zip nella cartella principale della posizione in cui sono stati estratti i contenuti. Anche questo mi ci è voluto un po 'per abituarmi. :)

— Jules,

Sidenote: i checksum forniti sono in generale direttamente per il file scaricato , non per tutti i file all'interno di un archivio / contenitore scaricato.

— Michael Pittino,