当下载提供者不发布散列时，如何验证软件的完整性？

Question

我注意到现在某些软件不再提供哈希了。

例如。

1. 缩放

https://zoom.us/download

wolf@linux:~$ ls -lh zoom_amd64.deb 
-rw-rw-r-- 1 wolf wolf 44M Jan   1 00:00 zoom_amd64.deb
wolf@linux:~$ 

我在谷歌上搜索过md5和sha256散列，但都找不到。

wolf@linux:~$ md5sum zoom_amd64.deb 
5f452b11d86d41e108a32f6a7d86c6dc  zoom_amd64.deb
wolf@linux:~$ 
wolf@linux:~$ sha256sum zoom_amd64.deb 
b06bc30a53ac5d3feb624e536c86394ccb9ac5fc8da9bd239ef48724138e9fc1  zoom_amd64.deb
wolf@linux:~$ 

1. 微软团队

https://www.microsoft.com/en-my/microsoft-teams/download-app#desktopAppDownloadregion

wolf@linux:~$ ls -lh teams_1.3.00.30857_amd64.deb 
-rw-rw-r-- 1 wolf wolf 73M Jan  20 09:07 teams_1.3.00.30857_amd64.deb
wolf@linux:~$ 
wolf@linux:~$ md5sum teams_1.3.00.30857_amd64.deb 
3d738e013804b96f401bd274db4069d1  teams_1.3.00.30857_amd64.deb
wolf@linux:~$ 
wolf@linux:~$ sha256sum teams_1.3.00.30857_amd64.deb 
5058b1fe8bf9fffc57d94148a7ec55119c5cd9b21aa267cb13518bec0244241b  teams_1.3.00.30857_amd64.deb
wolf@linux:~$ 

我们如何验证这样的软件，以确保没有人曾经篡改它？

Answer 1

我认为你需要直接问Zoom为什么他们不提供散列和/或签名的构建。DEB包本身仍然包含所有文件的的5和，但这主要用于安装后验证，而不是防止恶意意图。请注意，发布tarball的散列也没有帮助--如果有人设法在Zoom服务器上放置一个“假”tarball/包，他们也可以在那里放置一个假散列。散列通常用于确保tarball或包(或发行版的ISO )在下载过程中不会损坏。已签名的版本提供了某种“安全性”，但仍然存在获取公钥以验证通常从同一个源获得的签名的问题。

顺便说一句。缩放是封闭源，而关闭源项目IMHO通常不这样做。我们应该很高兴他们提供RPM和DEB软件包:-)