Le immagini di Microsoft Windows trovate su Internet sono sicure?

1

Microsoft ha smesso di offrire le immagini di Windows per il download. Ora è possibile ottenere l'immagine solo se si ha una chiave di una versione di vendita del sistema operativo corrispondente. La domanda è ora, se le immagini che volano su Internet, sono sicure da usare. È sufficiente confrontare lo SHA1 dei file .iso con quello fornito da Microsoft? È possibile creare facilmente una collisione introducendo contemporaneamente malware o altri "oggetti" indesiderati nel file .iso? I file .iso sono tutti più piccoli di 5 GB.

    
posta HerpDerpington 16.07.2015 - 14:28
fonte

2 risposte

5

Per un malintenzionato che tenta di modificare un file ISO mantenendo il suo valore hash identico al valore hash del file "genuino", il problema è noto come un secondo attacco preimage . Nessun attacco di questo tipo è noto per SHA-1 in questo momento; se qualcuno volesse calcolare una seconda preimage, dovrebbe pagare un costo di circa 2 calcoli della funzione hash 160 , che è oltre ciò che è tecnologicamente fattibile (di alcuni miliardi di miliardi di ...). Pertanto, a patto che l'hash corrisponda, il file ISO è "sicuro" (dove "sicuro" significa "identico a ciò che Microsoft vuole che sia"), indipendentemente da come lo hai ottenuto.

In realtà questo è vero anche se MD5 è usato come funzione hash. Le seconde pre-immagini sono molto più difficili da calcolare rispetto alle collisioni (si può dire che le seconde pre-immagini sono come collisioni in cui una metà è fissata).

Tutto ciò presuppone, naturalmente, che sia possibile trovare i veri valori hash così come sono stati calcolati da Microsoft (cioè li avete trovati su una pagina Web Microsoft e questa navigazione specifica è stata eseguita su SSL) . Come @Graham suggerisce, normalmente, quando puoi ottenere il valore hash da Microsoft, puoi anche scaricare l'ISO da Microsoft, possibilmente dalla stessa pagina, il che rende il punto un po 'discutibile.

    
risposta data 16.07.2015 - 14:39
fonte
1

Sono fattibili, nel senso che per calcolare computazioni hash 2^160 che sono tecnologicamente non fattibili.

E non devi preoccuparti di scaricare un .iso di Windows mentre puoi creare un file .iso dai file install.esd dalla copia di Windows originale di qualcuno (se sei un po 'paranoico).

    
risposta data 20.07.2015 - 15:59
fonte

Leggi altre domande sui tag