Чому зображення SHA256 файлу Raspbian ніколи не відповідає зображеному на веб-сайті?

Кожен раз, коли я завантажую Raspbian (востаннє Raspbian Stretch з робочого столу), я намагаюся перевірити SHA256. Однак кожен раз результат відрізняється від результатів на веб-сайті, хоча я впевнений, що завантаження було успішним та без маніпуляцій.

Чому так? Чи я обчислюю неправильно?

Останній раз я генерував sha256 на OSX командою shasum -a 256 2018-06-27-raspbian-stretch.img

raspbian-stretch

— Франческо Бой
джерело

бічна примітка - "Я впевнений, що завантаження пройшло успішно і без маніпуляцій". - ні, ти не є.

— користувач253751

Якщо ви отримуєте хеш з того самого каналу, що і файл, який він вимагає підтвердити, це насправді лише контрольна сума (виявлення випадкових пошкоджень). Зловмисник, який міг би замінити зображення, також міг змінити хеш на відповідність.

— Джефрі Босбум

@immibis Ні, ти не правий, я не в одному конкретному випадку, але якщо щодня sha256 не відповідає, швидше за все, щось не так у тому, як я його обчислюю, ніж мене атакують при кожному завантаженні, яке я роблю в різних ситуаціях із різними Мережі та все інше .... Принаймні, я так думаю, інакше мені доведеться думати, що я піддаюся нападу кожного разу, але я не такий параноїк

— Франческо Бой

Контрольна сума SHA-256 на сторінці завантажень призначена для ZIP-файлу, а не для файлу IMG.

— Дірк
джерело

Це мене збентежило, бо, здається, OSX витягує безпосередньо zip-файл, тому я не отримав його, завантажений як zip.

— Франческо Бой

Ви знайдете .zip файл там у батьківській папці місця, до якого було вилучено вміст. Це зайняло у мене і час, щоб звикнути. :)

— Жуль

Sidenote: Зазначені контрольні сумки, як правило, безпосередньо для завантаженого файлу , а не для файлів усередині завантаженого архіву / контейнера.

— Майкл Піттіно