Por que a imagem do arquivo SHA256 do Raspbian nunca corresponde à indicada no site?

Sempre que faço o download do Raspbian (da última vez com o Raspbian Stretch na área de trabalho), tento verificar o SHA256. No entanto, sempre que o resultado é diferente daquele no site, embora eu tenha certeza de que o download foi bem-sucedido e sem manipulação.

Por que é que? Estou calculando de maneira errada?

A última vez que gerou o sha256 no OSX com o comando shasum -a 256 2018-06-27-raspbian-stretch.img

raspbian-stretch

— Francesco Boi
fonte

nota lateral - "Tenho certeza de que o download foi bem-sucedido e sem manipulação". - não, você não é.

— user253751

Se você está obtendo o hash do mesmo canal que o arquivo que ele afirma verificar, na verdade é apenas uma soma de verificação (detectando corrupção acidental). Um invasor que pode substituir a imagem também pode modificar o hash para corresponder.

— Jeffrey Bosboom

@immibis Não, você está certo, eu não estou em uma ocasião específica, mas se toda vez que o sha256 não corresponde é mais provável que algo não esteja certo na maneira como eu o calculo, em vez de ser atacado em cada download que faço em diferentes situações com diferentes redes e diferente de tudo .... pelo menos eu penso assim, caso contrário eu teria que pensar que eu sou sob ataque cada vez, mas eu não sou tão paranóica

— Francesco Boi

A soma de verificação SHA-256 na página de downloads é para o arquivo ZIP, não para o arquivo IMG.

— Dirk
fonte

Isso me confundiu porque parece que o OSX extrai diretamente o arquivo zip, então eu não entendi o download foi feito como zip.

— Francesco Boi

Você encontrará o arquivo .zip na pasta pai do local para o qual o conteúdo foi extraído. Levei um tempo para me acostumar também. :)

— Jules

Nota: As somas de verificação fornecidas geralmente são diretamente para o arquivo baixado , não para arquivos dentro de um arquivo / contêiner baixado.

— Michael Pittino