Le immagini di Microsoft Windows trovate su Internet sono sicure?

Per un malintenzionato che tenta di modificare un file ISO mantenendo il suo valore hash identico al valore hash del file "genuino", il problema è noto come un secondo attacco preimage . Nessun attacco di questo tipo è noto per SHA-1 in questo momento; se qualcuno volesse calcolare una seconda preimage, dovrebbe pagare un costo di circa 2 calcoli della funzione hash ¹⁶⁰ , che è oltre ciò che è tecnologicamente fattibile (di alcuni miliardi di miliardi di ...). Pertanto, a patto che l'hash corrisponda, il file ISO è "sicuro" (dove "sicuro" significa "identico a ciò che Microsoft vuole che sia"), indipendentemente da come lo hai ottenuto.

In realtà questo è vero anche se MD5 è usato come funzione hash. Le seconde pre-immagini sono molto più difficili da calcolare rispetto alle collisioni (si può dire che le seconde pre-immagini sono come collisioni in cui una metà è fissata).

Tutto ciò presuppone, naturalmente, che sia possibile trovare i veri valori hash così come sono stati calcolati da Microsoft (cioè li avete trovati su una pagina Web Microsoft e questa navigazione specifica è stata eseguita su SSL) . Come @Graham suggerisce, normalmente, quando puoi ottenere il valore hash da Microsoft, puoi anche scaricare l'ISO da Microsoft, possibilmente dalla stessa pagina, il che rende il punto un po 'discutibile.

Sono fattibili, nel senso che per calcolare computazioni hash 2^160 che sono tecnologicamente non fattibili.

E non devi preoccuparti di scaricare un .iso di Windows mentre puoi creare un file .iso dai file install.esd dalla copia di Windows originale di qualcuno (se sei un po 'paranoico).