Digamos que eu gostaria de obter as imagens ISO do CentOS. Se, em vez de baixar diretamente as imagens ISO de um servidor espelho, eu apenas baixar o arquivo .torrent do mesmo servidor e usar um cliente BitTorrent, há alguma chance de as imagens serem corrompidas propositalmente?
Responder1
Contanto que você obtenha o arquivo torrent de uma fonte confiável, não será possível corromper as imagens.
O arquivo torrent contém informações suficientes para validar com segurança cada parte da imagem final. À medida que seu cliente recebe cada parte do arquivo de imagem, ele o valida em relação ao conjunto de hash (ou árvore Merkle) no arquivo torrent. Pedaços inválidos são descartados e recuperados novamente de uma fonte diferente. As fontes que continuam a enviar dados inválidos estão na lista negra.
No entanto, é possível dificultar o download do arquivo torrent criando um grande número de clientes falsos que servem pedaços corrompidos. O cliente jogará fora cada pedaço corrompido e colocará na lista negra os clientes falsos o mais rápido possível. Mas isso ainda pode tornar o download do arquivo torrent impraticavelmente lento se um invasor for determinado o suficiente.
Veja o artigo da Wikipédia sobreArquivos torrent, particularmente as teclas pieces
ou root hash
.
Responder2
A vantagem do torrent é que pedaços de 512 bytes podem estar corrompidos, mas como são fontes de fontes diferentes, um pedaço ruim de 512 bytes não fará com que todo o arquivo de 600 MB seja corrompido. Em vez disso, a soma MD5 incorreta dos 512 bytes incorretos é descartada e proveniente de pares de roteamento alternativos. Isso permite a vantagem inerente do torrent para baixar, com precisão, arquivos grandes.
Isso significa que a lista de servidores de torrent de origem autêntica (especialmente por meio de HTTPS) sempre terá um valor de confiança de 1:1.
Claro, você deve sempre verificar o MD5 ou SHA1 (ou outros hashes) para verificar a verdadeira precisão do arquivo baixado.
De acordo com a recomendação do Tails Linux (tails.boum.org), você deve (se for absolutamente paranóico) baixar o mesmo arquivo repetidamente para ter certeza de que é capaz de gerar os mesmos hashes MD5/SHA1, para CONFIAR nos servidores de onde você baixou o Arquivo de ação torrent.