Her er sha256 hashsums for ubuntu 14.04 iso'er.

Har du en guide til en funktion eller et program? Har du tips og trick, som du gerne vil dele med andre? Post dem her.
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.

Indlæg af AJenbo »

Ok, jeg hade ikke forstået at du ville have man skulle trykke på "Past releases", men den linker så også direkte ind til releases.ubuntu.com Jeg mener så også den side burde være til at stole på lige så meget som at skulle navigere sig igennem alle de links, den er jo et subdomæne for ubuntu.com, og så er det tros alt også der den entlige download af iso kommer fra. Det kunne dog være godt om hash sums kunne hentes fra en side med SSL.

Din instrukser kunne forkortes til:
1. http://www.ubuntu.com/
2. Klik på "Alternative downloads" i bunden af siden.
3. Klik på "Past releases" nederst på siden.
4. Vælge din udgave og der efter den *SUMS fil du vil bruge hash for.

Det spare mindst 2 sider i forløbet.
Brugeravatar
NickyThomassen
Admin
Indlæg: 3652
Tilmeldt: 5. mar 2010, 19:58
IRC nickname: nicky
Geografisk sted: 192.168.20.42

Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.

Indlæg af NickyThomassen »

AJenbo skrev:
gtr skrev:Dem, der har mest viden om hashsums, betragter md5 sums som kompromiterede.
En fil kan manipuleres, og stadig have den samme md5 sum.

Var det ikke mere specifikt at det lykkes nogen at lave 2 programmer med samme sum, men ikke at det er lykkes nogen at manipulere programmet uden at ændre summen?

Jo, MD5 er at betragte som forældet, da den blev delvis brudt tilbage i 2005. Al brug frarådes.

Det er netop muligt at 2 forskellige filer får den samme tjeksum, i det der hedder en "collision vulnerability"
https://en.wikipedia.org/wiki/MD5#Collision_vulnerabilities
Brugeravatar
NickyThomassen
Admin
Indlæg: 3652
Tilmeldt: 5. mar 2010, 19:58
IRC nickname: nicky
Geografisk sted: 192.168.20.42

Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.

Indlæg af NickyThomassen »

NickyThomassen skrev:
AJenbo skrev:
gtr skrev:Dem, der har mest viden om hashsums, betragter md5 sums som kompromiterede.
En fil kan manipuleres, og stadig have den samme md5 sum.

Var det ikke mere specifikt at det lykkes nogen at lave 2 programmer med samme sum, men ikke at det er lykkes nogen at manipulere programmet uden at ændre summen?

Jo, MD5 er at betragte som forældet, da den blev delvis brudt tilbage i 2005. Al brug frarådes.

Det er netop muligt at 2 forskellige filer får den samme tjeksum, i det der hedder en "collision vulnerability"
https://en.wikipedia.org/wiki/MD5#Collision_vulnerabilities


Det følgende skulle være et bevis for sårbarheden, men det meste går mildest talt over hovedet på mig :)
http://www.mscs.dal.ca/~selinger/md5collision/
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.

Indlæg af AJenbo »

Hvis man bare vil beskytte sig mod fejlbrænding eller overførsels fejl er md5 stadig fin, men hvis man vil sig at der ikke er nogen der har fusket med filerne er den ikke helt så god.
gtr

Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.

Indlæg af gtr »

Ajenbo
Jeg skrev, at jeg ikke ville bruge et link, fx http://releases.ubuntu.com/trusty/SHA256SUMS, fordi det
er et link, jeg ikke umiddelbart kender.
I stedet skulle jeg have skrevet, at jeg ikke bruger noget link andre end links, der fremkommer ved en søgning med
en søgemaskine, når det drejer sig om sikkerhedsmæssigt vigtig software.
Min vejledning er skrevet således. at man finder sha256 sums og dette uden at bruge et link i vejledningen.
Jeg lader mig ikke overbevise om andet.
Jeg kommenterer ikke flere indlæg, der omhandler om man kan bruge links, som er listet fx i dette forum.
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.

Indlæg af AJenbo »

https://www.google.com/search?&q=site%3Areleases.ubuntu.com%2Ftrusty%2FSHA256SUMS
;)

Jeg kan ikke helt følge hvad det er der gøre at du started med ubuntu.com frem for releases.ubuntu.com

Min største bekymring er at siderne ikke er https, i sådan et tilfælde ville jeg så mene at whois er det næste beste for at validere siden. Men da releases.ubuntu.com er et subdomain af ubuntu.com har de samme whois og DNS.