Supposons que je voudrais obtenir les images ISO pour CentOS. Si au lieu de télécharger directement les images ISO à partir d'un serveur miroir, je télécharge simplement le fichier .torrent à partir du même serveur et ensuite j'utilise un client BitTorrent, y a-t-il des chances que les images puissent être corrompues intentionnellement ?
Réponses
Trop de publicités?
Tant que vous obtenez le fichier torrent auprès d'une source fiable, il n'est pas possible de corrompre les images.
Le fichier torrent contient suffisamment d'informations pour valider de manière sécurisée chaque morceau de l'image finale. À mesure que votre client reçoit chaque morceau du fichier image, il le valide par rapport à l'ensemble de hachage (ou arbre de Merkle) du fichier torrent. Les morceaux invalides sont jetés et récupérés à nouveau à partir d'une source différente. Les sources qui continuent à vous envoyer des données invalides sont black-listées.
Cependant, il est possible de rendre très difficile pour quelqu'un de télécharger le fichier torrent en créant un grand nombre de clients frauduleux qui servent des morceaux corrompus. Le client jettera chaque morceau corrompu et mettra en liste noire les clients frauduleux aussi vite que possible. Mais cela peut rendre le téléchargement du fichier torrent impractiquement lent si un attaquant est assez déterminé.
Veuillez consulter l'article Wikipedia sur les fichiers torrent, en particulier les clés pieces ou root hash.
ruandao
Points
109
L'avantage du torrent est que les chunks de 512 octets peuvent être corrompus, mais parce qu'ils proviennent de différentes sources, un chunk de 512 octets défectueux ne causera pas la corruption de tout le fichier de 600 Mo. Au lieu de cela, la somme MD5 du chunk défectueux est rejetée et provient d'une autre source. Cela permet à l'avantage inhérent du torrent de télécharger correctement les gros fichiers.
Cela signifie que, à partir d'une liste de serveurs torrent source authentique (surtout via HTTPS), la valeur de confiance sera toujours de 1:1.
Biensûr, vous devez toujours vérifier les MD5 ou SHA1 (ou autres hachages) pour vérifier la véritable précision du fichier téléchargé.
Conformément à la recommandation de Tails Linux (tails.boum.org), vous devriez (si vous êtes absolument paranoïaque à ce sujet) télécharger le même fichier à plusieurs reprises pour vous assurer de pouvoir générer les mêmes hachages MD5/SHA1, pour FAIRE CONFIANCE aux serveurs à partir desquels vous avez téléchargé le fichier d'action Torrent.
