ハッシュによるファイルの正当性検証

　何気なくインターネットからファイルをダウンロードしてファイルの正当性を疑うこともなくそのままインストールして… でもセキュリティリテラシーの観点からするとよろしくないのでハッシュによる検証を癖つけるために記事にしました。
方法(kali-linux-2019.2-amd64.isoの例):

　1. 公式サイトから検証対象の.isoファイル(kali-linux-2019.2-amd64.iso)をダウンロードする

　2. OpenSSLを使ってハッシュ(今回はサイトのアルゴリズムにしたがってsha256)を以下のコマンドで算出(パイプで渡すのは個人的な好み)
$cat ./kali-linux-2019.2-amd64.iso | openssl sha256

　3. 出力されたハッシュ値とサイト上にあるSHA256Sumの値が一致しているか確かめる
>67574ee0039eaf4043a237e7c4b0…(例におけるハッシュ値)

　4. 同じであれば正当性が確立, 異なればハッシュのアルゴリズムが同じか見直すか再ダウンロードを行う

　簡単にできますね。しかし正当性の検証は大事なことです。なので忘れずにパソコンライフを送りたいと思います。

余談:
ちなみに今日はデジタル署名とか認証まわりも学習していて、ネットサーフィンしてたら本物の”オレオレ証明書”のサイトを見つけました。でもChromeがちゃんと警告出してくれたのですぐに気づきました。詳細で確認するとルート証明書があからさまに怪しいドメインで面白かったです。以上。おわり。