¿Por qué la imagen de archivo SHA256 de Raspbian nunca corresponde a la indicada en el sitio web?

Cada vez que descargo Raspbian (última vez Raspbian Stretch con escritorio) trato de verificar SHA256. Sin embargo, cada vez que el resultado es diferente al del sitio web, aunque estoy bastante seguro de que la descarga fue exitosa y sin manipulación.

¿Porqué es eso? ¿Estoy calculando de manera incorrecta?

La última vez que generé el sha256 en OSX con el comando shasum -a 256 2018-06-27-raspbian-stretch.img

raspbian-stretch

— Francesco Boi
fuente

nota al margen: "Estoy bastante seguro de que la descarga se realizó correctamente y sin manipulación". - No, no lo eres.

— user253751

Si obtiene el hash del mismo canal que el archivo que afirma verificar, en realidad es solo una suma de comprobación (que detecta la corrupción accidental). Un atacante que podría reemplazar la imagen también podría modificar el hash para que coincida.

— Jeffrey Bosboom

@immibis No, tienes razón, no estoy en una ocasión en particular, pero si cada vez que el sha256 no corresponde es más probable que algo no esté bien en cómo lo calculo en lugar de que me ataquen en cada descarga que hago en diferentes situaciones con diferentes redes y todo diferente ... Al menos eso creo, de lo contrario tendría que pensar que estoy bajo ataque cada vez pero no soy tan paranoico

— Francesco Boi

La suma de comprobación SHA-256 en la página de descargas es para el archivo ZIP, no para el archivo IMG.

— Puñal
fuente

Me confundió porque parece que OSX extrae directamente el archivo zip, así que no conseguí que se descargara como zip.

— Francesco Boi

Encontrará que el archivo .zip está allí en la carpeta principal de la ubicación donde se extrajo el contenido. Esto también me llevó un tiempo acostumbrarme. :)

— Jules

Nota al margen: las sumas de verificación proporcionadas son en general directamente para el archivo descargado , no para ningún archivo dentro de un archivo / contenedor descargado.

— Michael Pittino