Digamos que me gustaría obtener las imágenes ISO para CentOS. Si en lugar de descargar directamente las imágenes ISO desde un servidor espejo, simplemente descargo el archivo .torrent del mismo servidor y luego uso un cliente BitTorrent, ¿hay alguna posibilidad de que las imágenes se corrompan a propósito?
Respuesta1
Siempre que obtenga el archivo torrent de una fuente confiable, no es posible dañar las imágenes.
El archivo torrent contiene información suficiente para validar de forma segura cada fragmento de la imagen final. A medida que su cliente recibe cada fragmento del archivo de imagen, lo valida con el conjunto de hash (o árbol Merkle) en el archivo torrent. Los fragmentos no válidos se descartan y se recuperan de nuevo de una fuente diferente. Las fuentes que continúan enviándote datos no válidos están en la lista negra.
Sin embargo, es posible dificultar mucho la descarga del archivo torrent creando una gran cantidad de clientes falsos que sirven fragmentos corruptos. El cliente descartará cada fragmento corrupto y pondrá en lista negra a los clientes falsos lo más rápido que pueda. Pero esto aún puede hacer que la descarga del archivo torrent sea poco práctica y lenta si un atacante está lo suficientemente decidido.
Consulte el artículo de Wikipedia sobreArchivos torrent, particularmente las teclas pieceso root hash.
Respuesta2
La ventaja de torrent es que los fragmentos de 512 bytes pueden dañarse, pero debido a que se trata de fuentes de diferentes fuentes, un fragmento incorrecto de 512 bytes no hará que se corrompa todo el archivo de 600 MB. Más bien, la suma MD5 incorrecta de los 512 bytes incorrectos se elimina y se obtiene de un par de enrutamiento alternativo. Esto permite la ventaja inherente de torrent para descargar, precisamente, archivos grandes.
Esto significa que, desde la lista de servidores torrent de origen auténtico (especialmente a través de HTTPS), siempre tendrá un valor de confianza de 1:1.
Por supuesto, siempre debes verificar el MD5 o SHA1 (u otros hashes) para verificar la verdadera precisión del archivo descargado.
De acuerdo con la recomendación de Tails Linux (tails.boum.org), deberías (si estás absolutamente paranoico al respecto) descargar el mismo archivo repetidamente para asegurarte de que puedes generar los mismos hashes MD5/SHA1, para CONFIAR en los servidores desde donde has descargado el Archivo de acción torrent.