Está verificando se os ISOs baixados do site oficial valem a pena?

Sim, vale a pena.

Leva apenas alguns segundos para o md5sum / etc um ISO baixado, e isso garante que você não foi atacado pelo MITM etc. Além disso, esses segundos são seguros para o [horas de] tempo desperdiçado se você tivesse alguns erros de bit e depuração de erros de perseguição necessários que ninguém obtém devido ao seu download (por exemplo, você tem problemas de rede e, portanto, tenta depurar; mas a rede está recheada porque os poucos bits errados foram ...) seguro muito barato.

O software necessário para o md5sum alguma coisa será de outra fonte normalmente (uma versão mais antiga, mesmo diferente os / distro de vez em quando), é muito pequeno e já está presente para muitos / a maioria de nós.

Além disso, permite que eu faça o download de um espelho local, mas porque eu pego o md5sum da fonte canônica; Eu tenho seguro que o espelho não brincou com isso. Mais uma vez seguro muito barato que me custa ~ 3secs de tempo.

Sim, é MUITO RECOMENDADO que você verifique a imagem que baixou. Veja alguns motivos:

• Demora apenas alguns segundos e posso dizer se a integridade do arquivo está correta, quer dizer, o arquivo não está corrompido. (Uma causa comum de corrupção é um erro de transferência devido a razões técnicas, como uma conexão de internet esquisita do comentário do @sudodus.)
• Se o arquivo estiver corrompido e você gravar essa imagem ISO em uma unidade de CD / USB e ela não funcionar, ou durante uma instalação pode falhar, isso resulta em perda de tempo e em CDs.
• Você tem certeza de que está usando a versão oficial CLEAN de qualquer tipo de imagem ou software ISO e não uma versão modificada (talvez por invasores), consulte este relatório: Piratas Watch Dogs atingidos por malware de mineração de escória Bitcoin

Se você já tem uma distribuição GNU Linux, você pode usar md5sum , se você está no Windows você pode usar: WinMD5Free .

Espero que ajude.

Sim, é, mas o Ubuntu parece tornar mais difícil do que deveria.

No melhor dos casos, basta fazer o download de foo.iso e foo.iso.sig e clicar no arquivo .sig (ou usar gpg no shell do arquivo .sig) depois de importar a chave uma vez. Isso custa alguns segundos.

O Ubuntu parece tornar mais complicado, forçando você a verificar as somas do sha256 de um arquivo enquanto apenas o arquivo em si é assinado. Isso é conveniente para eles, mas mais trabalho para seus usuários.

Por outro lado, quando o arquivo foi gerado apenas por sha256sum * >SHA256SUMS , você pode verificá-lo usando sha256 -c e obter OK/Bad/Not-Found como saída.

Verifique seu /proc/net/dev e veja quantos quadros TCP ruins você recebeu até agora. Se você vir um valor de um único dígito (esperançosamente um zero), continue lendo. Se você tiver lotes ou erros de rede, use o MD5 para verificar seus downloads (embora eu prefira investigar a causa raiz, pois a rede não confiável significa que você não pode confiar em nada que receber via HTTP).

Quando você faz o download de TCP, o qual soma todos os dados transmitidos, há poucas chances de ter um download corrompido exatamente com o mesmo tamanho. Se você está confiante de estar baixando do site oficial (normalmente você está usando HTTPS e a verificação de certificado é aprovada), verificar se o download está concluído normalmente é o suficiente. Navegadores web decentes geralmente fazem a verificação para você de qualquer maneira, dizendo algo do tipo "download falhou" se eles não obtiverem a quantidade de dados esperada, embora eu tenha visto navegadores que apenas decidem manter o arquivo incompleto sem dizer nada para o usuário, caso em que você pode verificar o tamanho do arquivo manualmente.

É claro que a verificação de uma soma de verificação ainda tem seu valor, cobrindo você nos casos em que o arquivo que você está baixando está corrompido no servidor, mas isso não acontece com muita frequência. Ainda assim, se você for usar seu download para algo importante, esse é um passo que vale a pena.

Observe que as somas de verificação não impedem realmente que você seja atacado, é para isso que o HTTPS é.

Eu descobri da maneira mais difícil sobre não verificar a soma. Gostaria de gravar um CD com um ISO que foi corrompido durante um download, e não consegui arrancar, ou teve erros durante a execução.

Como os outros disseram, leva pouco tempo.

Você está vendo isso com apenas um caso de uso, em uma configuração com automação em massa ajuda a verificá-lo; scripts que executam a verificação, antes de prosseguir com o que sempre precisamos fazer com a imagem

Os outros deram respostas com detalhes técnicos que eu esqueci, embora eu seja um programador (meu trabalho não envolve comunicação através de redes), então eu vou deixar você saber uma experiência pessoal.

A tempo atrás, quando eu costumava gravar CDs com frequência, aconteceu de eu ter baixado este ISO da distribuição Linux que parecia ter sido baixado corretamente. O CD falhou, então eu verifiquei o arquivo baixado e ele não combinou. Então, eu baixei novamente e funcionou. Então, isso só aconteceu uma vez em 15 anos, desde que eu sou um usuário e programador avançado de computador (tenho usado computadores desde a idade de 11, 19 anos atrás, e já queimei mais de mil discos). Mas é a prova de que isso pode acontecer.

Também aconteceu comigo através do BitTorrent uma ou duas vezes, de modo que não é à prova de falhas. Ao forçar a verificação do arquivo baixado, ele identificou a peça corrupta.

Minha conclusão é que HTTP (confiando no TCP) pode ser o mais seguro possível, mas a Internet significa que existem nós intermediários entre o seu dispositivo e o servidor, e não há como saber o que pode acontecer no caminho (os pacotes são ainda perdido todo o tempo), e às vezes os computadores não podem dizer que os dados estão errados, eu acho.

Ninguém pode responder se valeria a pena para você - depende do contexto e tenho certeza que você pode julgar isso por si mesmo. Para mim, não vale a pena na maioria das vezes. Se eu fosse instalar um sistema operacional, eu verificaria a imagem baixada antes.

Nota: o fato de que eu só uma ou duas vezes notei que um download corrompido não significa que aconteceu apenas então. Talvez outras vezes não atrapalhe, então você não percebe.

EDIT: Eu ainda tinha outros programadores mais experientes no trabalho argumentam (com alguma indignação mesmo) que esses hashes de verificação de integridade de dados tornam possível saber se um arquivo é bit idêntico ao original , mas eu sei (eu li) que o fato de que dois arquivos resultam no mesmo hash não significa que eles são idênticos - apenas significa que é extremamente improvável que eles sejam diferentes. A maneira como são úteis é que quando os arquivos não são idênticos e, especialmente, quando são muito diferentes, seus códigos hash resultantes praticamente nunca serão os mesmos (é ainda menos provável que esse teste falhe). Em poucas palavras - se os códigos hash são diferentes, você sabe que os arquivos são diferentes.