CentOS の ISO イメージを取得したいとします。ミラー サーバーから ISO イメージを直接ダウンロードするのではなく、同じサーバーから .torrent ファイルをダウンロードして BitTorrent クライアントを使用する場合、イメージが意図的に破損される可能性はありますか?
答え1
信頼できるソースからトレント ファイルを取得する限り、イメージが破損することはありません。
トレント ファイルには、最終イメージの各チャンクを安全に検証するのに十分な情報が含まれています。クライアントはイメージ ファイルの各チャンクを受信すると、トレント ファイル内のハッシュ セット (または Merkle ツリー) に対して検証します。無効なチャンクは破棄され、別のソースから再度取得されます。無効なデータを送信し続けるソースはブラックリストに登録されます。
ただし、破損したチャンクを提供する偽のクライアントを大量に作成することで、誰かがトレント ファイルをダウンロードすることを非常に困難にすることは可能です。クライアントは破損したチャンクを破棄し、できるだけ早く偽のクライアントをブラックリストに登録します。ただし、攻撃者が十分に固執した場合、それでもトレント ファイルのダウンロードが非現実的なほど遅くなる可能性があります。
Wikipediaの記事を参照トレントファイル特にpieces
またはroot hash
キー。
答え2
トレントの利点は、512 バイトのチャンクが破損する可能性があるが、さまざまなソースから取得されるため、1 つの 512 バイトのチャンクが破損しても、600 MB のファイル全体が破損することはないということです。むしろ、破損した 512 バイトの MD5 サムが破棄され、代替ルーティング ピアから取得されます。これにより、トレントの本来の利点である、大きなファイルを正確にダウンロードできます。
つまり、正規のソースのトレント サーバー リスト (特に HTTPS 経由) の信頼値は、常に 1:1 になります。
もちろん、ダウンロードしたファイルの正確な正確性を確認するには、常に MD5 または SHA1 (またはその他のハッシュ) をチェックする必要があります。
Tails Linux (tails.boum.org) の推奨によると、(絶対に心配な場合は) 同じファイルを繰り返しダウンロードして、同じ MD5/SHA1 ハッシュを生成できるようにし、Torrent アクション ファイルをダウンロードしたサーバーを信頼する必要があります。