일부 소프트웨어는 이제 더 이상 해시를 제공하지 않는 것으로 나타났습니다.
예를 들어
- 급등하다
wolf@linux:~$ ls -lh zoom_amd64.deb
-rw-rw-r-- 1 wolf wolf 44M Jan 1 00:00 zoom_amd64.deb
wolf@linux:~$
md5 및 sha256 해시를 검색했지만 찾을 수 없습니다.
wolf@linux:~$ md5sum zoom_amd64.deb
5f452b11d86d41e108a32f6a7d86c6dc zoom_amd64.deb
wolf@linux:~$
wolf@linux:~$ sha256sum zoom_amd64.deb
b06bc30a53ac5d3feb624e536c86394ccb9ac5fc8da9bd239ef48724138e9fc1 zoom_amd64.deb
wolf@linux:~$
- 마이크로소프트 팀즈
https://www.microsoft.com/en-my/microsoft-teams/download-app#desktopAppDownloadregion
wolf@linux:~$ ls -lh teams_1.3.00.30857_amd64.deb
-rw-rw-r-- 1 wolf wolf 73M Jan 20 09:07 teams_1.3.00.30857_amd64.deb
wolf@linux:~$
wolf@linux:~$ md5sum teams_1.3.00.30857_amd64.deb
3d738e013804b96f401bd274db4069d1 teams_1.3.00.30857_amd64.deb
wolf@linux:~$
wolf@linux:~$ sha256sum teams_1.3.00.30857_amd64.deb
5058b1fe8bf9fffc57d94148a7ec55119c5cd9b21aa267cb13518bec0244241b teams_1.3.00.30857_amd64.deb
wolf@linux:~$
이와 같은 소프트웨어를 누구도 변조하지 않았는지 확인하려면 어떻게 해야 합니까?
답변1
왜 해시 및/또는 서명된 버전을 제공하지 않는지 Zoom에 직접 물어봐야 할 것 같습니다. DEB 패키지 자체에는 여전히모든 파일의 md5 합계그러나 이는 악의적인 의도로부터 보호하기보다는 주로 설치 후 확인을 위한 것입니다. 타르볼의 해시를 게시하는 것도 도움이 되지 않습니다. 누군가가 Zoom 서버에 "가짜" 타르볼/패키지를 배치했다면 거기에도 가짜 해시를 배치할 수 있습니다. 해시 값은 다운로드 프로세스 중에 타르볼이나 패키지(또는 배포판의 경우 ISO)가 손상되지 않았는지 확인하는 데 자주 사용됩니다. 서명된 버전은 일부 "보안"을 제공하지만 일반적으로 동일한 소스에서 얻는 서명을 확인하기 위해 공개 키를 얻는 데 여전히 문제가 있습니다.
그런데. Zoom은 비공개 소스입니다. IMHO, 비공개 소스 프로젝트에서는 일반적으로 그렇게 하지 않습니다. RPM 및 DEB 패키지를 제공하게 되어 기쁩니다 :-)