Hash del file iso non corrisponde con hash del DVD

[farthing]

Ciao

Nei giorni scorsi ho scaricato il file iso del DVD (openSUSE-11.3-DVD-i586.iso). Ho copiato il sha1sum indicato dal mirror e da terminale l'ho confrontato con quello del file scaricato: corrispondenza perfetta. L'hash è:  2b6212d6df83c29dd1b1801cc25660359a0d917d
Effettuo la masterizzazione con K3b impostato alla velocità più bassa possibile (2.4x) e seleziono la verifica: dopo circa 40 minuti K3b mi dice che la masterizzazione è andata a buon fine.
Per un eccesso di prudenza decido di fare ancora un controllo da terminale, con il comando:

Codice:

sha1sum /dev/cdrom

ed ottengo un hash completamente diverso:  01d5fdb81a7df745ca6010960f292da05defea96
Ripeto il comando, ed ottengo lo stesso hash.
Rifaccio la masterizzazione, ed ottengo lo stesso hash.
A questo punto, avvio il pc con il DVD e utilizzo la funzione di verifica presente nel menù: non viene riscontrato nessun difetto.

Utilizzerò il DVD per l'installazione, avendo avuto conferma della sua bontà sia da K3b sia dalla funzione di controllo dello stesso DVD ma, per curiosità, dove ho sbagliato? Il comando sha1sum /dev/cdrom credo che sia corretto anche per la verifica di un supporto (CD o DVD) e non soltanto per i file salvati su hard disk (per esempio: sha1sum /mnt/percorsodelfile/nomedelfile ): infatti in passato l'ho utilizzato in altre situazioni ed ho sempre avuto corrispondenza. A questo proposito: occorre che il CD/DVD sia montato o meno? Inserendo il supporto nel lettore, esso viene riconosciuto ma, evitando di cliccare sulla finestra di notifica che si apre, se subito dopo controllo in /media non lo vedo: deduco che non è stato montato. E' questa la situazione corretta per eseguire il calcolo dell'hash da terminale, oppure devo preventivamente montarlo?

Altra curiosità: K3b quale hash utilizza per il controllo, se viene selezionato? Non mi sembra che nelle impostazioni permetta di scegliere tra md5, sha1, sha256 o altro, come invece permette Brasero (se ricordo bene).

Grazie

[michele.p]

Ma quando masterizzi di nuovo la ISO ottieni un output dello SHA1 uguale a quello della prima masterizzazione oppure uno diverso ma uguale alla ISO che hai scaricato?

Bye 

[farthing]

Ciao

L'output da terminale è stato sempre lo stesso, sia dopo la prima masterizzazione sia dopo la seconda ma purtroppo questo hash (sha1) non corrisponde all'hash del file iso salvato sull'hard disk.

In sequenza temporale:
2b6212d6df83c29dd1b1801cc25660359a0d917d    hash ottenuto dal mirror
2b6212d6df83c29dd1b1801cc25660359a0d917d    hash del file scaricato ( sha1sum /mnt/percorsodelfile/nomedelfile )
01d5fdb81a7df745ca6010960f292da05defea96       hash dopo la prima masterizzazione ( sha1sum /dev/cdrom )
01d5fdb81a7df745ca6010960f292da05defea96       hash dopo la seconda masterizzazione

In entrambi i casi K3b ha verificato con successo la masterizzazione. Inoltre il supporto, avviato e controllato con la sua opzione di verifica, non rileva errori.

[michele.p]

...come risultato dovrebbe essere giusto visto che per questo tipo di verifiche è sufficiente cambiare una "virgola" e la relativa somma è completamente differente. In questo caso, penso, un conto è verificare una ISO (che avrà una sua somma) e un conto la medesima ma masterizzata per la quale sicuramente la somma è differente. Quello che è importante è che la somma della ISO scaricata sia uguale a quella fornita dal sito e ciò al fine di verificare "manomissioni" ad opera di "terzi".

Bye 

[farthing]

Ciao, e grazie per avermi dato retta! 
Non è un problema serio, tutt'altro, ma mi incuriosisce la possibilità di effettuare da terminale la verifica del supporto masterizzato, come fanno K3b (e gli altri frontend grafici).

Anche a me è venuto il dubbio che il comando sha1sum /dev/cdrom non sia utilizzabile per verificare una ISO masterizzata. Ricordavo però di aver letto qualcosa del genere sul manuale Slackware, e l'ho trovato (pag. 10 paragrafo 1.3.3 "Controllo del CD"):

Per verificare la corrispondenza fra la ISO e il CD appena creato, in GNU/Linux si può ricorrere al
comando: cmp /dev/cdrom nome_iso.iso, oppure rigenerare lo md5sum dal CD col comando: md5sum /dev/cdrom.

Può essere che valga soltanto per il comando md5sum e non anche per il comando sha1sum? (Infatti, se ben ricordo, per la ISO di Ubuntu ho dato il comando md5sum /dev/cdrom e ha funzionato)

Ho provato anche a dare il comando cmp /dev/cdrom nome_iso.iso e ho ottenuto questo output:

Codice:

cmp: EOF in /mnt/sda3/opensuse_11-3/openSUSE-11.3-DVD-i586.iso

EOF sta per "End Of File", ma nel contesto del comando cmp che valore ha? Ha riscontrato differenze oppure no?

[michele.p]

Anche a me è venuto il dubbio che il comando sha1sum /dev/cdrom non sia utilizzabile per verificare una ISO masterizzata.

No no, la codifica sha1 può essere utilizzata anche (ma non solo) per controllare le iso,a d esempio per Mandriva:

ftp://mandriva.mirror.garr.it/mirrors/Mandrake/official/iso/2010.1/

Quello che sto dicendo io è che un conto è avere lo sha1 di una ISO un conto lo sha1 di una non più ISO riportata su CD/DVD: in questi casi presumo che lo sha1, visto "come funziona", debba essere per forza differente.

Bye 

[farthing]

Ciao

Ho capito: l'output di sha1sum /dev/cdrom può essere usato per confrontare tra loro il risultato di differenti masterizzazioni, ma non per confrontare il risultato di una masterizzazione con il file iso da cui è stata effettuata la masterizzazione stessa.

In conclusione, i modi per verificare il buon esito di una masterizzazione sono: 1) affidarsi alla funzione di verifica presente nel programma di masterizzazione; 2) affidarsi alla funzione di verifica del supporto, presente nel programma di installazione della distro (se c'è)?

[michele.p]

Nello specifico, più che confrontare diverse masterizzazioni direi per il verificare se la ISO scaricata sia stata o meno "alterata" da terzi. Una volta che hai scaricato la ISO e masterizzata ha poco senso verificarla con lo sha1 visto che se la stai masterizzando vuol dire che quella che hai scaricato ha lo sha1 coincidente con chi ti fornisce direttamente la stessa ISO. E' tutto un gioco di parole.

...tutto questo fermo restando che per lo sha1 sono state dimostrate collisioni: "La sicurezza di SHA-1 è stata in parte compromessa dai crittoanalisti" (http://it.wikipedia.org/wiki/Secure_Hash_Algorithm).

Bye 

[farthing]

Hai ragione, la sua utilità è quella che hai indicato.
Io ne avrei voluto fare anche un utilizzo volto a verificare che la masterizzazione fosse andata a buon fine ma, tutto sommato, il controllo che viene effettuato dal programma di masterizzazione è più che sufficiente.

Ciao, e grazie.