一部のソフトウェアは、もはやハッシュを提供していないことがわかりました。
例えば
- 急騰
wolf@linux:~$ ls -lh zoom_amd64.deb
-rw-rw-r-- 1 wolf wolf 44M Jan 1 00:00 zoom_amd64.deb
wolf@linux:~$
md5とsha256ハッシュを検索しましたが見つかりませんでした。
wolf@linux:~$ md5sum zoom_amd64.deb
5f452b11d86d41e108a32f6a7d86c6dc zoom_amd64.deb
wolf@linux:~$
wolf@linux:~$ sha256sum zoom_amd64.deb
b06bc30a53ac5d3feb624e536c86394ccb9ac5fc8da9bd239ef48724138e9fc1 zoom_amd64.deb
wolf@linux:~$
- マイクロソフトチーム
https://www.microsoft.com/en-my/microsoft-teams/download-app#desktopAppDownloadregion
wolf@linux:~$ ls -lh teams_1.3.00.30857_amd64.deb
-rw-rw-r-- 1 wolf wolf 73M Jan 20 09:07 teams_1.3.00.30857_amd64.deb
wolf@linux:~$
wolf@linux:~$ md5sum teams_1.3.00.30857_amd64.deb
3d738e013804b96f401bd274db4069d1 teams_1.3.00.30857_amd64.deb
wolf@linux:~$
wolf@linux:~$ sha256sum teams_1.3.00.30857_amd64.deb
5058b1fe8bf9fffc57d94148a7ec55119c5cd9b21aa267cb13518bec0244241b teams_1.3.00.30857_amd64.deb
wolf@linux:~$
このようなソフトウェアを誰も改ざんしていないことを確認するにはどうすればよいですか?
答え1
なぜハッシュおよび/または署名付きバージョンを提供しないのか、Zoomに直接尋ねる必要があるようです。 DEBパッケージ自体にはまだすべてのファイルのmd5合計しかし、これは悪意のある意図から保護するのではなく、主に設置後の確認のためのものです。タルボールのハッシュを投稿することも役に立ちません。誰かがZoomサーバーに「偽の」ターボール/パッケージを配置した場合、そこにも偽のハッシュを配置できます。ハッシュ値は、ダウンロードプロセス中にタールボールやパッケージ(またはディストリビューションの場合はISO)が破損していないことを確認するためによく使用されます。署名付きバージョンはいくつかの「セキュリティ」を提供しますが、一般的に同じソースからの署名を確認するために公開鍵を取得する際に問題があります。
ところで。 Zoomはプライベートソースです。 IMHO、プライベートソースプロジェクトでは一般的にそうしません。 RPMとDEBパッケージを提供することを嬉しく思います:-)