ダウンロードプロバイダがハッシュを公開していない場合は、ソフトウェアの整合性をどのように確認できますか?

ダウンロードプロバイダがハッシュを公開していない場合は、ソフトウェアの整合性をどのように確認できますか?

一部のソフトウェアは、もはやハッシュを提供していないことがわかりました。

例えば

  1. 急騰

https://zoom.us/download

wolf@linux:~$ ls -lh zoom_amd64.deb 
-rw-rw-r-- 1 wolf wolf 44M Jan   1 00:00 zoom_amd64.deb
wolf@linux:~$ 

md5とsha256ハッシュを検索しましたが見つかりませんでした。

wolf@linux:~$ md5sum zoom_amd64.deb 
5f452b11d86d41e108a32f6a7d86c6dc  zoom_amd64.deb
wolf@linux:~$ 
wolf@linux:~$ sha256sum zoom_amd64.deb 
b06bc30a53ac5d3feb624e536c86394ccb9ac5fc8da9bd239ef48724138e9fc1  zoom_amd64.deb
wolf@linux:~$ 
  1. マイクロソフトチーム

https://www.microsoft.com/en-my/microsoft-teams/download-app#desktopAppDownloadregion

wolf@linux:~$ ls -lh teams_1.3.00.30857_amd64.deb 
-rw-rw-r-- 1 wolf wolf 73M Jan  20 09:07 teams_1.3.00.30857_amd64.deb
wolf@linux:~$ 
wolf@linux:~$ md5sum teams_1.3.00.30857_amd64.deb 
3d738e013804b96f401bd274db4069d1  teams_1.3.00.30857_amd64.deb
wolf@linux:~$ 
wolf@linux:~$ sha256sum teams_1.3.00.30857_amd64.deb 
5058b1fe8bf9fffc57d94148a7ec55119c5cd9b21aa267cb13518bec0244241b  teams_1.3.00.30857_amd64.deb
wolf@linux:~$ 

このようなソフトウェアを誰も改ざんしていないことを確認するにはどうすればよいですか?

答え1

なぜハッシュおよび/または署名付きバージョンを提供しないのか、Zoomに直接尋ねる必要があるようです。 DEBパッケージ自体にはまだすべてのファイルのmd5合計しかし、これは悪意のある意図から保護するのではなく、主に設置後の確認のためのものです。タルボールのハッシュを投稿することも役に立ちません。誰かがZoomサーバーに「偽の」ターボール/パッケージを配置した場合、そこにも偽のハッシュを配置できます。ハッシュ値は、ダウンロードプロセス中にタールボールやパッケージ(またはディストリビューションの場合はISO)が破損していないことを確認するためによく使用されます。署名付きバージョンはいくつかの「セキュリティ」を提供しますが、一般的に同じソースからの署名を確認するために公開鍵を取得する際に問題があります。

ところで。 Zoomはプライベートソースです。 IMHO、プライベートソースプロジェクトでは一般的にそうしません。 RPMとDEBパッケージを提供することを嬉しく思います:-)

関連情報