Quão seguros são os torrents para baixar software legítimo? [fechadas]

5

Digamos que eu queira obter as imagens ISO para o CentOS. Se em vez de baixar diretamente as imagens ISO de um servidor espelho, basta baixar o arquivo .torrent do mesmo servidor e, em seguida, usar um cliente BitTorrent, há alguma chance de que as imagens possam ser corrompidas de propósito?

    
por HAA 15.08.2012 / 02:28

2 respostas

12

Desde que você obtenha o arquivo torrent de uma fonte confiável, não será possível corromper as imagens.

O arquivo torrent contém informações suficientes para validar com segurança cada parte da imagem final. À medida que seu cliente recebe cada pedaço do arquivo de imagem, ele o valida contra o conjunto de hash (ou árvore Merkle) no arquivo torrent. Pedaços inválidos são descartados e buscados novamente a partir de uma fonte diferente. As fontes que continuam enviando dados inválidos estão na lista negra.

É, no entanto, possível tornar muito difícil para alguém baixar o arquivo torrent criando um grande número de clientes falsos que atendem pedaços corrompidos. O cliente jogará fora cada pedaço corrompido e colocará na lista negra os clientes falsos o mais rápido que puder. Mas isso ainda pode tornar o download do arquivo de torrent impraticávelmente lento se um invasor for determinado o suficiente.

Veja o artigo da Wikipédia sobre arquivos Torrent , especialmente as chaves pieces ou root hash .

    
por 15.08.2012 / 02:57
0

A vantagem do torrent é que os pedaços de 512 bytes podem estar corrompidos, mas como são fontes de fontes diferentes, um pedaço ruim de 512 bytes não causará a corrupção do arquivo inteiro de 600MB. Em vez disso, a soma ruim do MD5 do 512byte ruim é descartada e originada do ponto de roteamento alternativo. Isso permite que a vantagem inerente do torrent para baixar, com precisão os arquivos grandes.

Isso significa que, a partir da lista de servidores de torrent de origem autentica (especialmente através de HTTPS) sempre terá um valor de confiança de 1: 1.

É claro que você deve sempre verificar o MD5 ou SHA1 (ou outros hashes) para verificar a verdadeira exatidão do arquivo baixado.

De acordo com a recomendação do Tails Linux (tails.boum.org), você deve (se absolutamente paranóico) baixar o mesmo arquivo repetidamente para ter certeza de que é capaz de gerar os mesmos hashes MD5 / SHA1, para TRUST os servidores de onde você baixou o arquivo de ação do Torrent.

    
por 15.08.2012 / 04:40