ダウンロードしたファイルの整合性を本当にチェックする必要がありますか？

答えと選択は、リスク許容度と検証の時間と労力の考慮に基づいて行われます。

MD5/SHA1ハッシュをチェックすることは良い最初のステップであり、時間があるときにそれを行う必要があります。ただし、提供されたハッシュを信頼する能力を考慮する必要があります。たとえば、ハッシュを使用して作成者のWebサイトがハッキングされた場合、攻撃者がハッシュを変更する可能性があるため、わかりません。計算するハッシュがnot提供されたハッシュと同じである場合、何かがアップしていることがわかります。ただし、ハッシュの一致がnotであるという理由だけで、ファイルが良好であることを保証しません。

ソフトウェア作成者が整合性と信頼性を提供するためのより良い代替手段は、 ファイルにデジタル署名する 配布することです。これにより、信頼性情報がファイルに添付され、一部のWebサイトの信頼に依存しなくなります。作成者がファイルにデジタル署名する場合、これを偽造する唯一の方法は、認証局が侵害されているか、開発者の署名キーが盗まれた場合です。これらのケースはどちらも、インターネット上のWebサイトがハッキングされる可能性がはるかに低いです。

最終的には、自分でデューデリジェンスを行って何かを信頼するかどうかを判断し、対策（サンドボックス、仮想マシンなどで実行）を実行して、信頼するかどうかを決定するときに行った未知の要因や誤算を軽減する必要があります。 。

セキュリティ上の理由から、はい。 Tor出口ノードが ダウンロード中にバイナリにパッチを適用する であることが判明したことを考慮してください。次に、ISPのモラルがわずかである場合とない場合があり、インターネット接続を完全に制御していることを覚えておいてください。

他の答えに追加するだけです：

TLDR：整合性が重要なファイルの場合、はい

長い答え：ファイルの整合性が高いことが重要な場合に必要になることがよくあります。

一例は、OpenWRTでルーターをフラッシュすることです。ファイルが破損している場合、そのルーターはブリックされ、次のいずれかを実行する必要があります。

• 交換してください（高価）
• 修正します（時間がかかります。特にシリアルケーブル/ JTAGをはんだ付けする必要がある場合）

これらは両方とも、ハッシュをチェックする単純さに比べて不便です。したがって、重要なファイルに対してこれを行うことを強くお勧めします。

シークオフセットを使用したHTTPリクエストはそれほど広く使用されていないため、ダウンロードが中断されたかどうかを確認するだけで、後で再開しました。そのため、何かおかしなことが起こった可能性があります。

多くの場合、ダウンロードは圧縮ファイルであり、壊れても解凍されません。そうでない場合は、チェックすることは悪い考えではありません。 ISOをライトワンスメディアに書き込む前にチェックする場合があります。

他の回答やコメントが言っているように、私が入手したのと同じサイトのハッシュでそれを検証することは、セキュリティの観点からはほとんど役に立ちません。ミラーからダウンロードした方が便利な場合がありますが、ハッシュは元のアップストリームからのものです。または、ファイル名があいまいで、何らかの理由で、希望する正確なバージョンを取得したかどうかわからない場合。

重要なのは、ハッシュの公開は、ハッシュをホストしている同じサイトからファイルをダウンロードする以外の多くの特殊なケースに役立つということです。