Для конкретного выпуска Windows, опубликованного Microsoft, как я могу криптографически проверить подлинность и целостность .iso
файл, который я загрузил, прежде чем скопировать его на USB-накопитель и попытаться установить на свой ноутбук?
Сегодня я хотел загрузить Microsoft Windows 10, но на странице загрузки ничего не говорилось о том, как криптографически проверить целостность и подлинность их выпуска после загрузки.
https://www.microsoft.com/en-us/software-download/windows10ISO
Примечание. У меня нет Windows, и приведенная выше страница будет динамически меняться в зависимости от того, обнаруживает ли она, что вы используете Windows или нет. В моем случае он предлагает мне загрузить
.iso
по следующей ссылке, потому что я использую Linux
Я ожидал увидеть на странице загрузки сообщение:
- Отпечаток ключа подписи выпуска PGP,
- Ссылка на дополнительную документацию и
- Ссылки на [a] файл манифеста (например,
SHA256SUMS
) и [b] отдельная подпись этого файла манифеста (например,SHA256SUMS.asc
,SHA256SUMS.sig
,SHA256SUMS.gpg
, так далее)
К сожалению, единственная информация, которую я нашел на странице загрузки, — это то, как проверить целостность образа с помощью SHA256SUM, найденного в таблице на той же странице. Очевидно, это проверяет целостность, но не подлинность. И он не обеспечивает безопасности, потому что он не выходит за пределы диапазона .iso
сам.
Как я могу выполнить предварительную проверку криптографической целостности и подлинности с помощью Microsoft Windows .iso
выпускает?
1 ответ
Лучший способ проверить ISO — это в первую очередь загрузить его из Microsoft (дважды, если вы хотите быть действительно уверены, хотя это несколько слишком).
В противном случае вам нужно полагаться на хеши SHA1. К сожалению, Microsoft удалила общедоступный доступ из области загрузки для подписчиков MSDN, где раньше можно было искать хэши SHA1.
Если вы не знаете подписчика MSDN, который может получить для вас хэш SHA1, вам нужно полагаться на сторонние веб-сайты, которые перечисляют эти хэши для вас. Ниже представлены два таких сайта:
- Хеш-архив Microsoft SHA1 из моей Visual Studio
- TechBench от WZT
(остерегайтесь рекламы)
Также обратите внимание на проверку целостности образа ISO после публикации.
Жалко, что они заблокировали / заплатили за хэши 🙁 Догадываясь, что они блокировали другой контент и не заметили этот элемент
— Грегг
12 часов назад
Этот ответ не предоставляет никакой информации о проверке подлинности или криптографической целостности. Весь смысл этого вопроса состоит в том, чтобы выяснить, как убедиться, что мой
.iso
на самом деле исходил от Microsoft. Кроме того, SHA1 небезопасен. Я считаю, что контрольные суммы, предоставленные Microsoft, являются хешами SHA256. Это дает вам целостность, но не подлинность.— Майкл Альтфилд
8 часов назад
Простите, но если ваш диск такой же, как у Microsoft, какое вам дело? Файлы не имеют прикрепленной истории, указывающей, где они были изначально. Вам не кажется, что ваш отрицательный голос был преувеличен?
— harrymc
8 часов назад
Было заявлено, что Microsoft не предоставляет метод проверки подлинности ISO-образа Windows.
— Рамхаунд
6 часов назад