posted by wap
这SHA-1哪儿来的？与MSDN网站上的不一样哦小心中招

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @Boomer  于 2016-1-19 19:56 发表
看一下主帖那么难？你这是 C2R 安装的零售版，我发的是 MSI 安装的批量授权版

那你还是没回答我的问题呢。这个SHA-1是哪里来的？MSDN上面找不到。
________
发送自TGFC Android Beta客户端

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @Boomer  于 2016-1-20 12:32 发表
VLSC

这次 MSDN 不提供 MSI 格式安装的版本

可惜我没有VLSC账户无法验证。那么作为没有VLSC账户的普通人，有无公开的方式验证该SHA1的真实性？
如果没有，我的建议依然是谨慎下载"网友提供"的东西，最好还是找MSDN这类可以公开验证真实性的版本。不要忘了前车之鉴。
________
发送自TGFC Android Beta客户端

posted by wap

引用:

原帖由 @para  于 2016-1-20 23:17 发表
他不是说了这是大客户版……MSDN上怎么可能有，SHA1当然只是这个版本的，防止你下载时出错而已。

SHA-1最重要的作用是保证下载你硬盘上的文件与“别人”硬盘上的文件一致。问题的关键在于如何确认这个“别人”是谁？

以MSDN为例，SHA-1公开可查，可以确认这个“别人”是微软。
但顶楼这个文件，只能确认“别人”是“俄罗斯朋友 Face66 @ ru-board”。

信任谁呢？请选择。

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @Boomer  于 2016-1-21 00:36 发表
挂载这个 ISO 之后，安装文件都带微软数字签名的…数字签名可造不了假

避免造假只是一方面。另一方面，这么说吧，即便该俄罗斯网友诚实可靠，还是没法确认这人自己下载的时候有没有出错，你说是吧？
使用SHA-1校验第一步就是要确认其来源可信。若无法确认，又跟随便上网瞎下载有何区别？
________
发送自TGFC Android Beta客户端

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @Boomer  于 2016-1-21 05:58 发表
因为安装文件都有微软的数字签名，所以就保证了每一个字节都是微软官方签发，外人改动或者传输中错误一个字节，数字签名就会失效…你可以好好想想这个道理

数字签名不能代替校验。况且数字签名的可靠性还是不如校验，只有校验才能保证二进制级别的一致性。所以校验码的来源无比重要。
________
发送自TGFC Android Beta客户端

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @aqi  于 2016-1-21 06:45 发表
数字签名是哈希算法计算生成你说的校验串后用私钥加密，所以才叫签名。
验证签名时，会用对应的数字证书（公钥）解开签名，得到校验串1，然后再用被校验文件算一次得到校验串2，对比这两个串就行了。
所以数字签名很可靠啊。

我还是觉得数字签名无法替代校验码。毕竟还有些文件没有签名。数字签名也无法在二进制上确认特定文件的一致性。比方说微软每天发行的带签名的文件成百上千，但是"版本号16.0.XXXX的office2016简体中文版"只有一个。光凭签名如何确认是哪一个？
________
发送自TGFC Android Beta客户端

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @para  于 2016-1-21 09:19 发表
那就是只要官方不公开SHA1,你都不信任下载喽?有必要这么小心吗?要不要每个下载都在虚拟机先安装一遍试试啊?

不太准确。如果官方不公布SHA1，我不会信任任何"网盘"下载，只会借助有理由相信的途径比如官方网站。现实是MSDN有SHA1供大众查阅实际上是提供方便了。
有没有必要这么小心你得问问自己将来会用这些软件干啥。
________
发送自TGFC Android Beta客户端

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @Boomer  于 2016-1-21 09:43 发表
光是你 76# 的回复就是在扯了，数字签名恰恰就是证明所有文件在二进制上就是每个字节一致的，怎么还没搞清楚？

另外，微软现在签发的安装包，所有的可执行的 EXE MSI CAB 文件都有签名，TXT 文件是不能签名但是有任何影响？

这年头发个东西，只要是带签名的，懂的人都秒懂，主帖给个 SHA1 是为了方便大家下载之后一次性校验整体有没有出错，因为单个文件的数字签名要逐个检查，你怀疑这个除了说明你不懂其他什么都说明不了…

所以，一个安装包，全部的文件都是微软官方签发的，装好之后是简体中文的，那么还有其他任何问题么？

最后说一点，远景有人有 VLSC 账号的，截图证明 VLSC 本身就不提供任何下载文件的校验码，而现在 VLSC 是批量授权版本惟一的来源，如果你不要 VLSC 的批量授权版，又没人不准你用 MSDN 的零售版，自己解决激活问题就是

这么问吧：顶楼的校验码是多余的咯对不对？

我是在普及数字安全的基本原则，那就是来源可信。远景有人有VLSC账户，那很好，对于那人来说他有可信来源。可是对于没有账户的人来说并无意义。

顶楼那个文件也许是好的，但我没有可信的验证手段。当然了，各人的数字安全原则不一样，我只是阐明我认为最可靠的方式而已。
你那句"安装之后"实在笑喷，数字安全不是开玩笑，安装之后就晚啦。
________
发送自TGFC Android Beta客户端

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @Boomer  于 2016-1-21 11:03 发表
不是多余的，因为除了你以外的坛友都想一次性校验全部的文件，而你有闲心的话可以逐个文件检查数字签名

因为全部文件都有微软数字签名，所以安装绝对不会危害安全，不存在什么安装之后就晚了的问题，明白？

你要不信数字签名的话，可以写论文论证，只要能发在国际权威期刊上，保证你瞬间成为世界顶级计算机科学家

这种扯淡的回复到此为止，其他需要做的事情多了

是啊，一次性校验全部文件，问题是和谁校验？和俄罗斯网友吗？
我不信任俄罗斯网友，所以连下载下来逐个校验的闲心都不会有。你可以认为这是扯淡，我认为对任何看重数字安全的人来说这都是极其严肃的事情。
________
发送自TGFC Android Beta客户端

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @Boomer  于 2016-1-21 11:32 发表
对啊，当然是和首发的俄罗斯网友校验

比如，现在我有很多个小文件，每一个都带微软的数字签名，然后我把全部的文件打包到单个的文件里，你收到之后首先校验这单个文件的 SHA1，单个的这个大文件一致的话，难道解开之后得到的任意一个单体文件会不一致？

这个逻辑问题你得好好想想…

这逻辑建立在信任俄罗斯网友的基础上。而我不信任他，就这么简单。
等一下，你是说这个包是俄罗斯网友打的？抱歉我实在没那么勇敢啊。。。
________
发送自TGFC Android Beta客户端

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @Boomer  于 2016-1-21 12:37 发表
文件打包那是和你打个比方，这都不明白？

你信不信任他有什么关系？所有文件都是微软数字签名的，他改一个字节签名就失效了

嗯，所以你会从网盘下载一个不知道哪儿来的包，然后寄希望于解开以后里面的文件有数字签名。至于那些文件到底是啥，安装以后就知道了反正有签名肯定无害。这是你的做法对么？
我个人反正无法接受啊，情愿从第一步就确保来源可信。
________
发送自TGFC Android Beta客户端

posted by wap, platform: GOOGLE Nexus 5

引用:

原帖由 @aqi  于 2016-1-21 12:59 发表
嗯嗯，尝试理解下，你的意思是说：
1. 对于ISO内的数据文件，没有签名，所以还是有风险。
2. 对于整个ISO文件之类的来说，可能会有被恶意重新打包、或者虽然是微软发布的但用途不是这个的风险。

如果是这两个的话，确实还需要大文件的签名或者哈希校验码，不过前者微软不会做吧，后者只能靠发布者的人品和后期用户鉴别了。。。

我一般只在乎校验，校验可靠的前提下不怎么在乎签名。后者很多软件公司官网都会提供吧，至少MSDN有。来源不明的文件，电影音乐无所谓，重要软件比如操作系统office之类我是不敢碰。
________
发送自TGFC Android Beta客户端