Angenommen, ich möchte die ISO-Images für CentOS erhalten. Wenn ich die ISO-Images nicht direkt von einem Spiegelserver herunterlade, sondern nur die Torrent-Datei vom selben Server herunterlade und dann einen BitTorrent-Client verwende, besteht dann die Möglichkeit, dass die Images absichtlich beschädigt werden?
Antwort1
Solange Sie die Torrent-Datei aus einer vertrauenswürdigen Quelle beziehen, ist es nicht möglich, die Bilder zu beschädigen.
Die Torrent-Datei enthält ausreichend Informationen, um jeden Block des endgültigen Bildes sicher zu validieren. Wenn Ihr Client jeden Block der Bilddatei empfängt, validiert er ihn anhand des Hash-Sets (oder Merkle-Baums) in der Torrent-Datei. Ungültige Blöcke werden verworfen und erneut von einer anderen Quelle abgerufen. Quellen, die Ihnen weiterhin ungültige Daten senden, werden auf die schwarze Liste gesetzt.
Es ist jedoch möglich, das Herunterladen der Torrent-Datei für andere sehr schwer zu machen, indem man eine große Anzahl gefälschter Clients erstellt, die beschädigte Chunks bereitstellen. Der Client wird jeden beschädigten Chunk löschen und die gefälschten Clients so schnell wie möglich auf die schwarze Liste setzen. Wenn ein Angreifer jedoch entschlossen genug ist, kann dies das Herunterladen der Torrent-Datei dennoch unpraktisch langsam machen.
Siehe den Wikipedia-Artikel überTorrent-Dateien, insbesondere die Tasten piecesoder root hash.
Antwort2
Der Vorteil von Torrents besteht darin, dass 512-Byte-Blöcke beschädigt werden können. Da es sich jedoch um Quellen aus verschiedenen Quellen handelt, führt ein fehlerhafter 512-Byte-Block nicht dazu, dass die gesamte 600 MB große Datei beschädigt wird. Vielmehr wird die fehlerhafte MD5-Summe der fehlerhaften 512 Byte gelöscht und von einem alternativen Routing-Peer bezogen. Dadurch wird der inhärente Vorteil von Torrents genutzt, um insbesondere große Dateien herunterzuladen.
Dies bedeutet, dass eine Torrent-Serverliste mit authentischen Quellen (insbesondere über HTTPS) immer einen Vertrauenswert von 1:1 hat.
Natürlich müssen Sie immer MD5 oder SHA1 (oder andere Hashes) überprüfen, um die tatsächliche Genauigkeit der heruntergeladenen Datei sicherzustellen.
Gemäß der Empfehlung von Tails Linux (tails.boum.org) sollten Sie (wenn Sie absolut paranoid sind) dieselbe Datei wiederholt herunterladen, um sicherzustellen, dass Sie dieselben MD5/SHA1-Hashes generieren können, um den Servern zu VERTRAUEN, von denen Sie die Torrent-Aktionsdatei heruntergeladen haben.