[Gelöst] Prüfsumme auf USB-Stick

[HumiNi]

Ich versuche vergeblich, die Prüfsumme eines ISO-Images nach dem Schreiben auf einen USB-Stick zu verifizieren.

Beispiel: debian-live-12.4.0-amd64-xfce.iso
laut https://cdimage.debian.org/debian-cd/cu ... SHA256SUMS
ist sie: 5920ff9e90d67131da9026b2c4d639f8e4eabf3c0ea1f6f9b572e0db910b517c debian-live-12.4.0-amd64-xfce.iso
Das kann ich nach dem Download bestätigen.

Schreibe ich sie aber auf den Stick (per dd oder cp) und Versuche, dessen Inhalt zu verifizieren, Komme ich nie auf diese Prüfsumme. Beispiel:

Code: Alles auswählen

root@gauner:/public/Images# dd if=/dev/sdd | sha256sum
  0f4022d97cba6b2ad7ed60de773b731c42dd224d07f82cc7145d45d208fa22db  -

oder:

Code: Alles auswählen

root@gauner:/public/Images# dd if=/dev/sdd of=ddout_xfce.iso
root@gauner:/public/Images# sha256sum ddout_xfce.iso
0f4022d97cba6b2ad7ed60de773b731c42dd224d07f82cc7145d45d208fa22db  ddout_xfce.iso

root@gauner:/public/Images# cp /dev/sdd gelesenes_xfce.iso
root@gauner:/public/Images# sha256sum gelesenes_xfce.iso
0f4022d97cba6b2ad7ed60de773b731c42dd224d07f82cc7145d45d208fa22db  gelesenes_xfce.iso

Das ist aber auch nicht verwunderlich, wenn man die unterschiedlichen Größen betrachtet:

Code: Alles auswählen

3167797248 Jan 11 16:39 debian-live-12.4.0-amd64-xfce.iso
4022337536 Jan 11 18:05 gelesenes_xfce.iso

Wie kann ich das geschriebene Medium sicher verifizieren?

PS: Der Stick ist nicht eingehängt (mounted).

[borrtux]

Man verifiziert doch auch nach dem Runterladen und nicht nach dem Schreiben auf den Stick.
Was soll das denn noch bringen?

[tobo]

Wenn du den kompletten Stick nimmst, dann prüfst du halt auch jedes Füllbyte mit - geprüft werden sollte wohl die Dateigröße, beginnend vom Anfang des Sticks:

Code: Alles auswählen

# sha512sum firmware-11.5.0-amd64-netinst.iso 
2fde00391688f569d2df4ac655f9bda32f6522635514a28de7ef10e684c752af296c4e4eadca7a2afba487780ef559a61051131e7f6e758d7792fa87660b57b8  firmware-11.5.0-amd64-netinst.iso
# dd if=firmware-11.5.0-amd64-netinst.iso of=/dev/sdc bs=4M 2>/dev/null
# sha512sum /dev/sdc
f558efbde48586c8c5a6999f9e5889b33a2f12028d8db650a9c70cfbda3c3a5a897dfb0656430e043318c6fd0a5e64fa5b8b752115c554c7bc0e11e77a6722ba  /dev/sdc
# head -c `wc -c <firmware-11.5.0-amd64-netinst.iso` /dev/sdc | sha512sum -
2fde00391688f569d2df4ac655f9bda32f6522635514a28de7ef10e684c752af296c4e4eadca7a2afba487780ef559a61051131e7f6e758d7792fa87660b57b8  -
#

Bezogen auf diese Datei, die hier noch rumlag:
https://cdimage.debian.org/images/unoff ... 64/iso-cd/

EDIT: Leidigen Kopierfehler "final" bereinigt!

[JTH]

Code: Alles auswählen

# head -c `wc -c <firmware-11.5.0-amd64-netinst.iso` firmware-11.5.0-amd64-netinst.iso | sha512sum -

Sollte man nicht /dev/sdX als Eingabedatei an head übergeben, statt nochmal des ISOs?

Code: Alles auswählen

head -c $(wc -c <xyz.iso) /dev/sdX | sha512sum -

[tobo]

Na klar! Jetzt habe ich dieses edit komplett verschlimmbessert...

EDIT:
Nochmal geprüft:

Code: Alles auswählen

# head -c `wc -c <firmware-11.5.0-amd64-netinst.iso` /dev/sdc | sha512sum -
2fde00391688f569d2df4ac655f9bda32f6522635514a28de7ef10e684c752af296c4e4eadca7a2afba487780ef559a61051131e7f6e758d7792fa87660b57b8  -
#

[cosinus]

Wie kann ich das geschriebene Medium sicher verifizieren?

Wozu denn? Du hast doch schon sichergestellt, dass die ISO-Datei (mit dem der Stick betankt wurde) genau die Prüfsumme hat, wie auf dem Debianserver in der Datei auch steht. Wenn da also was korrupt sein sollte, dann weil der Stick defekt ist.

Die ISO-Datei ist doch auch so auf dem Stick garnicht drauf. Wenn dann findest du den Inhalt des ISO-Abbildes da wieder, also kannst du die Prüfsummen aller darin enthaltenen Dateien checken. Ich sehe da aber keinen großen Sinn drin, außer man will Zeit totschlagen

[uname]

Die Prüfsumme ist ja vor allen dafür da, dass man die Inhalte korrekt downloadet, die vom Distributor vorgesehen waren. Das nutzt vor allen vor Schadcode. Gerne erinnere ich an den Linux Minit Hack von 2016 (Mint Blog, Heise). Wobei es viele Distributor gibt, die Prüfsummen dort ablegen, wo auch die ISOs rumliegen. Es reicht daher nicht einfach die MD5-Dateien zu vergleichen, da der Hacker wenn er schon das ISO austauschen kann, auch gleich ein neues MD5 verbreitet. Man muss GPG verwenden laut dieser Linux Mint Anleitung. Funktioniert auch für andere ISOs. Leider wird die Notwendigkeit von MD5 und GPG gerne unterschätzt wie der Vorfall von 2016 zeigt.

Für die Überprüfung, ob der Stick korrekt geschrieben wurde, ist die Prüfsumme nichts.

[cosinus]

Man muss GPG verwenden ...

Richtig, man müsste zumindest prüfen, ob die md5/sha1 Datei korrekt von Debian signiert wurde. Dann muss man nur noch hoffen, dass der private key nicht gestohlen wurde

[MSfree]

Für die Überprüfung, ob der Stick korrekt geschrieben wurde, ist die Prüfsumme nichts.

Doch, man kann auch vom Stick die Prüsumme berechnen und mit dem Soll vergleichen.

Wenn der Stck mit dd beschrieben wurde, dann wurde das runtergeladene Image Byte für Byte auf den Stick übertragen, so daß die Prüfsumme des Sticks auch identischm mit der des Images sein muß.

Das einzige, was dabei zu beachten ist, ist, daß der Stick größer als das Image ist, und wenn man die Prüfsumme über den kompletten Stick berechnet, werden halt auch Byte in die Prüfsumme gerechnet, die über die Länge des Images hinaus gehen. Man muß also die Größe des Images ermitteln und dann genau dieselbe Anzahl Bytes vom Stick lesen und daraus die Prüfsumme rechnen.

[uname]

Ich habe mal etwas gesucht. Hier habe ich nur die Information gefunden, dass dd keine eigene Prüfung macht. Auch wenn byteweise geschrieben wird, kann natürlich was schiefgehen.

Weiter wird noch folgender Tipp zur Überprüfung gegeben. Habe ich aber nicht ausprobiert. Scheint ja scheinbar doch irgendwie zu gehen. Man kopiert einfach mit dd die Daten zurück in eine Datei. Wobei man dann natürlich nicht weiß bei welchem Kopieren der Fehler aufgetreten ist. Kann das jemand ausprobieren?

Code: Alles auswählen

dd if=/dev/sdb of=~/hd_backup
dd if=/dev/sdb | md5sum
dd if=~/hd_backup | md5sum

Nach dem Kopieren mit dd gebe ich im Übrigen sync ein. Ist das noch notwendig?

[HumiNi]

Wozu denn? Du hast doch schon sichergestellt, dass die ISO-Datei (mit dem der Stick betankt wurde) genau die Prüfsumme hat, wie auf dem Debianserver in der Datei auch steht. Wenn da also was korrupt sein sollte, dann weil der Stick defekt ist.

Richtig, das sehe ich dem Stick aber nicht an.
Wenn ich mit so einem Stick installiere, läuft die Installation scheinbar sauber durch und ich kämpfe später gegen unerklärliche Fehler im System. Um das zu vermeiden, würde ich gern verifizieren, dass auf dem Stick genau das drauf ist, was drauf sein sollte.

[MSfree]

Wenn ich mit so einem Stick installiere, läuft die Installation scheinbar sauber durch und ich kämpfe später gegen unerklärliche Fehler im System.

In der Regel bekommt man schon während der Installation Probleme, wenn der Stick kaputte Blöcke hat. Ausserdem kann ja auch deine SSD kaputte Blöcke haben, so daß du trotz intaktem Sticks defekte Dateien auf der SSD haben kannst, die später zu rätselhaftem Verhalten des System führen.

Die Installation kannst du aber hinterher mit debsums prüfen lassen.

[JTH]

Scheint ja scheinbar doch irgendwie zu gehen.

tobo hat weiter oben doch längst eine Möglichkeit gezeigt

Weiter wird noch folgender Tipp zur Überprüfung gegeben. […] Man kopiert einfach mit dd die Daten zurück in eine Datei. Wobei man dann natürlich nicht weiß bei welchem Kopieren der Fehler aufgetreten ist. […]

Code: Alles auswählen

dd if=/dev/sdb of=~/hd_backup
dd if=/dev/sdb | md5sum
dd if=~/hd_backup | md5sum

Scheint mir für die hier im Raum stehende Frage keine sinnvolle Lösung zu sein. Damit guckst du höchstens, ob die in der ersten Zeile angelegte Kopie deines Mediums fehlerfrei ist. Es fehlt aber, wie hier gesucht, der Vergleich mit dem ursprünglichen ISO.

[HumiNi]

Danke für die Antworten.
Ich muss also neben der Prüfsumme noch die genaue Größe des ISOs kennen und in die Prüfung einbeziehen, dann kann ich exakt verifizieren.

[retabell]

Wozu denn? Du hast doch schon sichergestellt, dass die ISO-Datei (mit dem der Stick betankt wurde) genau die Prüfsumme hat, wie auf dem Debianserver in der Datei auch steht. Wenn da also was korrupt sein sollte, dann weil der Stick defekt ist.

Richtig, das sehe ich dem Stick aber nicht an.
Wenn ich mit so einem Stick installiere, läuft die Installation scheinbar sauber durch und ich kämpfe später gegen unerklärliche Fehler im System. Um das zu vermeiden, würde ich gern verifizieren, dass auf dem Stick genau das drauf ist, was drauf sein sollte.

Du kannst beim booten vom Stick die Option

Code: Alles auswählen

verify-checksums

mitgeben.
siehe auch man live-boot

[cosinus]

Du kannst beim booten vom Stick die Option

Code: Alles auswählen

verify-checksums

mitgeben.
siehe auch man live-boot

Schwierig. Ist das Programm denn auch vertrauenswürdig?