Как проверить целостность ISO-образов в macOS

Если вы обычно загружаете операционные системы или утилиты с сайтов... формат iso чтобы использовать их на вашем Mac, проверить целостность этих изображений Это не прихоть: это практически обязательное условие, если вы хотите избежать поврежденных установок, странных ошибок или, что еще хуже, проблем с безопасностью. macOS предлагает несколько способов убедиться в том, что ISO-файл, сам процесс загрузки и прошивка находятся в исправном состоянии.

В этом руководстве мы подробно и без лишней информации рассмотрим следующие вопросы: Как проверить, не поврежден ли ISO-образ на macOSКакова роль контрольных сумм (MD5, SHA1, SHA256)? Что делает macOS «за кулисами» с recoveryOS и прошивкой? Как Apple проверяет целостность собственной системы и проводит диагностику? И какое место в этой головоломке занимают сторонние инструменты, такие как balenaEtcher или Ventoy?

Почему проверка образа ISO так важна в macOS?

Когда вы загружаете ISO-образ для установки системы (например, Manjaro, Debian, Ubuntu или даже утилиты восстановления), вы доверяете тому, что... Файл загружен полностью и без изменений.Изменение всего одного бита может привести к чему угодно: от сбоев при установке до нестабильной работы системы, которая начинает давать сбои через несколько дней.

Помимо случайного повреждения данных во время загрузки, существует риск того, что Кто-то изменил образ ISO. Если вы скачаете его с неофициального сайта или если ваше соединение будет перехвачено, вы можете неосознанно установить систему, содержащую вредоносное ПО или бэкдоры.

Как будто этого было недостаточно, после того, как вы "запишете" этот ISO-образ на USB-накопитель или внешний жесткий диск, вступает в игру еще один фактор: целостность данных, записанных на самом носителе информацииДешевые USB-накопители, обрывы связи во время копирования или даже битые сектора могут привести к тому, что записанное содержимое не будет соответствовать оригиналу.

И в заключение отметим, что в современных компьютерах Mac также необходимо учитывать следующее: среды обеспечения целостности микропрограммного обеспечения и восстановления (RecoveryOS и Apple Diagnostics), которые являются основой для надежной и безопасной загрузки вашей системы. Apple разработала для этого довольно сложную систему, и понимание ее помогает получить полное представление о том, как обеспечивается целостность данных в macOS.

Как работают контрольные суммы (MD5, SHA1, SHA256) и файлы .sum

Классический инструмент для проверки правильности загрузки ISO-файла — это использование криптографическая контрольная суммаТо есть, это код, сгенерированный из содержимого файла с использованием таких алгоритмов, как MD5, SHA1 или SHA256. Если содержимое изменяется, код также изменяется.

Во многих Дистрибутивы Linux Для систем, распространяемых по стандартам ISO, поставщик публикует файл сумм рядом с изображением. Обычно оно имеет то же имя, что и ISO-образ, но с другим окончанием. Например, для файла типа manjaro-xfce-0.8.1-x86_64.isoВполне нормально находить файлы следующего вида:

• манджаро-xfce-0.8.1-x86_64-sha1.sum
• манджаро-xfce-0.8.1-x86_64-sha256.sum

Часть имени «ша» относится к Алгоритм безопасного хешированияSHA1 и SHA256 — это две вариации одной и той же концепции: они генерируют уникальный код для данного содержимого; если стандарт ISO изменяется, этот код перестает соответствовать требованиям. SHA256 — более современный и надежный алгоритм, чем SHA1, поэтому, если ваш поставщик предлагает такую ​​возможность, Предпочтительно использовать SHA256. для ваших чеков.

Эти файлы Файлы .sum — это всего лишь простые текстовые файлы. которые содержат в одной строке ожидаемое значение хеша и имя файла, связывающее их. Когда вы вычисляете ISO-хеш на своем Mac и сравниваете его со значением, опубликованным разработчиком (либо в файле), .sha256.sum (или непосредственно на их веб-сайте), вы проверяете, соответствует ли загруженный вами файл точно файлу, сгенерированному поставщиком.

Эта идея сравнима с секретным паролем: Если сгенерированный на вашем Mac «пароль» (хеш) не совпадает с паролем, опубликованным на официальном сайте,Это признак того, что ISO-образ был поврежден или изменен, и в этом случае лучше не использовать его и загрузить заново.

Проверьте целостность ISO-образа в macOS с помощью Терминала.

В macOS для вычисления хешей ISO-файлов не требуется ничего устанавливать (в отличие от...). Windows), потому что система уже включает утилиты командной строки для MD5, SHA1 и SHA256Просто воспользуйтесь Терминалом и выполните соответствующую команду.

Первый шаг — перейти в каталог, где находится ваш ISO-образ. Например, если он находится в папке «Загрузки», вы можете сделать что-то подобное:

cd ~/Descargas

Находясь в нужном каталоге, вы можете сгенерировать контрольную сумму с помощью следующих команд, в зависимости от используемого алгоритма. Если вам нужен хеш SHA256, который рекомендуется использовать, вот он:

shasum -a 256 nombre-de-tu-imagen.iso

Команда шасум -а 256 Программа вычисляет хеш SHA256 файла и возвращает длинную строку из цифр и букв, за которой следует имя файла. Вам необходимо сравнить эту строку со значением, опубликованным разработчиком (либо в файле, либо где-либо еще). .sha256.sum или непосредственно на их веб-сайте).

Если поставщик предоставляет вам только контрольную сумму SHA1, вы можете использовать:

shasum -a 1 nombre-de-tu-imagen.iso

А если у вас есть только хеш MD5, в macOS также есть специальная команда для этого, так что вы можете выполнить:

md5 nombre-de-tu-imagen.iso

Если значения, сгенерированные этими командами, совпадают с опубликованными, можно считать, что ISO-файл цел и готов к использованию.Если они не совпадают, вам потребуется удалить файл и загрузить его заново, желательно проверив подключение к интернету или поискав альтернативное зеркало.

Что делать, если ISO-образ не содержит файл контрольной суммы?

Многие дистрибутивы Linux и системы восстановления содержат такие файлы, как... md5sum.txt, sha1sum или sha256sum Хэш либо размещается непосредственно в самом ISO-образе, либо рядом с ним на странице загрузки. Однако не все проекты так делают; иногда они публикуют хэш только на веб-странице, а иногда и вовсе не публикуют его.

Если ISO-образ не содержит файл контрольной суммы, в идеале разработчик должен хотя бы опубликовать его. хеш-значение на их официальном сайтеВ этом случае вы вычисляете хеш с помощью shasum o md5 На вашем Mac вручную сравните полученную строку с той, которую вы видите на странице.

Когда нет ни файла с суммами, ни опубликованного значения, ситуация усложняется, потому что У вас отсутствует ссылка на источник.Вы можете самостоятельно сгенерировать хеш для будущих проверок, но это не гарантирует, что исходный ISO-образ не был уже изменен или поврежден.

В таких случаях наиболее разумным решением будет следующее:

• Скачивайте ISO-образ только отсюда. официальный сайт проекта или из проверенных зеркал.
• Избегайте использования сторонних источников сомнительного происхождения, особенно если речь идет об операционных системах или конфиденциальных инструментах.
• Проверьте, предлагает ли провайдер что-либо подобное. Компании GPG или другие альтернативные механизмы проверки.

Если разработчик действительно не предоставляет никаких подтверждений, следует предположить, что Настоящих гарантий честности нет.и оценить, стоит ли использовать этот ISO-образ или лучше поискать более надежную альтернативу.

Как balenaEtcher и Ventoy проверяют целостность данных, записанных на USB-накопитель?

Когда вы записываете ISO-образ на USB-накопитель с помощью таких инструментов, как... dd В macOS этот процесс просто копирует блоки данных из одного места в другое без выполнения каких-либо дополнительных проверок. Если что-то пойдет не так, вы узнаете об этом только при попытке загрузки, когда появятся ошибки загрузки.

Приложения вроде китовый травитель или вентой Они идут еще дальше и предлагают варианты проверки после записи. Концепция проста: как только они скопируют ISO-образ на накопитель, Они снова считывают эти данные с USB-накопителя и сравнивают их с исходным файлом..

Обычно они пересчитывают хеш или сравнивать блок за блокомЕсли содержимое, считанное с USB-накопителя, идентично исходному образу, программа сообщает об успешном завершении процесса. В противном случае она предупреждает о проблеме, возникшей во время записи.

Эта проверка после копирования не зависит от того, включена ли она в ISO-образ или нет. файлы, например md5sum.txtЕсли разработчик включает эти файлы в образ, некоторые инструменты могут использовать их для выполнения дополнительной проверки непосредственно в загруженной системе, но на уровне balenaEtcher или Ventoy ключевым моментом является сравнение исходного и целевого файлов.

Если стандарт ISO не включает внутреннюю контрольную сумму, инструмент может просто проверить это. Данные, полученные на USB-накопителе, совпадают с данными в файле на вашем диске.Это не гарантирует легитимность ISO-образа, но гарантирует, что он не был поврежден при переходе с «файла на физический носитель».

recoveryOS на Mac: BaseSystem.dmg и BaseSystem.chunklist

Помимо загружаемых ISO-образов, ваш Mac имеет собственную среду восстановления, которая называется recoveryOSкоторая полностью отделена от основной установки macOS. Вся эта система восстановления сохранена в файле образа диска под названием... Базоваясистема.dmg.

Рядом с этим изображением находится еще один важный файл: BaseSystem.chunklistЭтот файл содержит список хешей, соответствующих фрагментам BaseSystem.dmg размером 10 МБ. По сути, это фрагментированная карта целостности всего образа восстановления.

Когда Mac загружается в режим восстановления (recoveryOS), прошивка UEFI не доверяет содержимому диска безоговорочно. Сначала она оценивает... цифровая подпись файла списка фрагментовИ только если эта подпись действительна, начинается пошаговая проверка хешей каждого 10-мегабайтного блока файла BaseSystem.dmg.

Если какой-либо из этих хешей не совпадает, это означает, что содержимое recoveryOS было изменено или повреждено. В такой ситуации, Загрузка из локальной системы восстановления отменена. и прошивка пытается войти в режим восстановления через интернет, загружая чистый образ с серверов Apple.

Если проверка списка фрагментов и всех частей файла BaseSystem.dmg завершится успешно, прошивка смонтирует этот образ как RAM-диск и выполнит команду. boot.efi что он содержит. UEFI не требует специальной проверки. ни boot.efi, ни ядропотому что целостность всей восстановительной операционной системы уже была предварительно проверена на уровне полного образа.

Диагностика Apple и ее механизм обеспечения целостности.

Apple защищает не только среду восстановления, но и саму систему. Диагностика AppleТо есть, это утилита, которая позволяет проверить аппаратное обеспечение вашего Mac, не заходя в основную операционную систему.

Процесс загрузки для локальной диагностики очень похож на процесс загрузки recoveryOS. В этом случае используются файлы. AppleDiagnostics.dmg y AppleDiagnostics.chunklistкоторые функционируют аналогично файлам BaseSystem.dmg и BaseSystem.chunklist, но ориентированы на среду тестирования.

Прошивка UEFI проверяет подпись списка диагностических блоков, а затем проверяет хеши блоков в образе AppleDiagnostics.dmg. Если все совпадает, вместо загрузки происходит повторная проверка. boot.efiПрошивка запускает файл под названием diags.efi внутри этого изображения.

Файл diags.efi отвечает за вызывать другие драйверы UEFI способный взаимодействовать с оборудованием, запускать тесты памяти и диска и т. д., и показывать вам любые обнаруженные ошибки. Опять же, идея заключается в том, что выполняется только тот код, целостность которого была предварительно проверена.

Этот подход, основанный на изображениях. .dmg с подписанными списками фрагментов Это позволяет Apple гарантировать, что восстановление и диагностика начинаются в доверенной среде, не полагаясь на исправность основного диска или отсутствие в нем вредоносных изменений.

Восстановление из интернета и безопасность загрузок

Если во время запуска recoveryOS или Apple Diagnostics обнаруживается проблема, прошивка UEFI имеет запасной план: recoveryOS через ИнтернетВы также можете запустить его вручную с помощью сочетаний клавиш при включении вашего Mac.

В этом режиме прошивка подключается к серверам Apple, чтобы Загрузите образы дисков и их списки фрагментов. соответствующие. Хотя передача осуществляется по протоколу HTTP вместо HTTPS, целостность этих образов защищена так же, как если бы они находились на вашем собственном диске.

Суть в том, что безопасность основана не на шифровании передачи, а на Проверить загруженное содержимое на соответствие подписанному списку фрагментов (chunklist).Даже если кому-то удастся перехватить соединение и изменить данные в процессе передачи, хеши перестанут совпадать, и прошивка отбросит измененный образ.

Согласно задумке разработчиков, если проверка определенного фрагмента не удается, прошивка запрашивает у сервера повторную блокировку до тех пор, пока... 11 раз, прежде чем сдаться и отобразить ошибку. Загрузка с загруженного образа восстановления будет разрешена только после того, как все фрагменты пройдут проверку целостности.

Когда Apple представила функцию восстановления и диагностики через интернет примерно в 2011 году, компания решила использовать более простой протокол HTTP и взять на себя критически важную часть процесса. аутентификация и обеспечение целостности контента с использованием списков фрагментов.Это позволило им избежать реализации всего стека HTTPS в прошивке UEFI, что обеспечило меньшую поверхность атаки и более контролируемый код.

Как проверить, обновлена ​​ли прошивка EFI в macOS

Целостность образов ISO и recoveryOS в порядке, но также важно знать следующее: статус прошивки EFI вашего Mac. Использование устаревшей прошивки может привести к уязвимостям, сбоям загрузки или несовместимости с последними версиями macOS.

Чтобы узнать, какая версия загрузочного ПЗУ у вас установлена, просто выполните следующие действия в системе macOS:

1. Открыть меню  и выберите опцию Об этом Mac.
2. Когда появится окно, нажмите кнопку, чтобы отобразить его. Системный отчет.
3. В боковой панели перейдите в раздел Аппаратные средства и искать поле версия загрузочного ПЗУ.

Вы увидите нечто подобное MBP114.0177.B00Первый блок (MBP114 в примере) идентифицирует вашу модель Mac, в данном случае это 15-дюймовый MacBook Pro 2015 года с диагональю 11,4 дюйма.

Последующие группы в шестнадцатеричном формате указывают на основные и дополнительные версии прошивкиЭти значения следует сравнивать с официальными таблицами или обновленными списками, в которых собраны последние доступные версии прошивки для каждой модели Mac.

Если ваша версия старше той, что указана в этих таблицах, это обычно означает, что У вас отсутствует обновление macOS или патч прошивки.потому что Apple распространяет многие из этих улучшений прошивки, интегрированных в системные обновления.

Проверьте целостность прошивки с помощью eficheck в macOS.

В состав macOS также входит утилита командной строки, специально разработанная для проверьте целостность прошивки EFIсравнивая его со списком версий, разрешенных Apple. Этот инструмент называется... eficheck.

Чтобы использовать его, откройте приложение. Терминал и выполните следующую команду:

/usr/libexec/firmwarecheckers/eficheck/eficheck --integrity-check

Если всё пойдёт хорошо, вы получите примерно такой результат:

EFI Version: MBP114.88Z.0183.B00.1804091616
Primary allowlist version match found. No changes detected in primary hashes.

На этом выходе префикс MBP114 Здесь снова указана модель Mac (в данном случае, тот же MacBook Pro 11,4), а в следующих разделах представлена ​​информация о версии прошивки и ее дате.

Блок 0183 Это соответствует последней версии прошивки, и B00 к уменьшенной версии. Итоговое число, 1804091616 В приведенном примере закодирована дата компиляции прошивки (здесь ее можно прочитать как 2018/04/09 16:16).

Сообщение «Обнаружено совпадение с основной версией списка разрешенных файлов. Изменений в основных хешах не обнаружено» указывает на то, что Прошивка соответствует версии, распознанной и разрешенной компанией Apple.и что в основных хешах не обнаружено никаких изменений. Если вы видите совершенно другое сообщение или оно указывает на наличие несоответствий, это серьезный признак того, что могут быть проблемы с целостностью прошивки.

В этом случае рекомендуемый порядок действий следующий: обратитесь в магазин Apple. или обратиться в авторизованный технический сервисный центр для проверки оборудования, поскольку изменение или повреждение прошивки выходит за рамки обычного ремонта в домашних условиях.

Проверка дисков и USB-накопителей на наличие ошибок из macOS.

Целостность ISO-образа зависит не только от загруженного файла, но и от его содержимого. диск или USB-накопитель, где это хранится или записываетсяДиск с поврежденными секторами может испортить установку, даже если ISO-образ в идеальном состоянии.

В macOS у вас есть это приложение. Дисковая утилитаЭта программа выполняет функции менеджера разделов и базового диагностического инструмента. Вы найдете её в папке. Приложения > Утилитыили найдя его через Spotlight (значок лупы в строке меню).

Дисковая утилита также может быть запущена на безопасный режим Для анализа загрузочного диска системы рекомендуется следовать инструкциям Apple, поскольку шаги могут различаться в зависимости от версии macOS и типа Mac (Intel или Apple Silicon).

Вплоть до версий Snow Leopard и Mavericks приложение включало в себя понятные опции для Проверить диск y Ремонтный диска также функции для проверки и исправления прав доступа на томах, отформатированных в формате Mac OS Extended (HFS+). На следующих системах:

• В левой панели вы выбираете диск или раздел.
• Вы вошли во вкладку Первая помощь,
• И оттуда вы бы приступили к необходимым проверкам и ремонту.

В более поздних версиях macOS, от Yosemite до Sierra и далее, интерфейс изменился, но основная концепция осталась неизменной. Первая помощьВыберите выделенный том (том данных) и нажмите «Первая помощь», чтобы macOS проверила файловую систему и, если возможно, исправила ошибки.

Эти анализы могут занимать от нескольких секунд до нескольких минут, в зависимости от размера объема и количества необходимых корректировок. Окно позволяет вам... Показать или скрыть подробности в рамках процесса, чтобы увидеть, что именно проверяется и какие проблемы выявляются.

Обратите внимание, что некоторые расширенные операции поддерживаются только томами, отформатированными в Mac OS Extended или APFS. Форматы, такие как FAT32 (MS-DOS), не поддерживают права доступа и имеют дополнительные ограничения, поэтому для проверки USB-накопителей, отформатированных в этих форматах, лучше использовать специальные инструменты от производителя.

Если после оказания первой помощи вы замечаете повторяющиеся сообщения об ошибках или устройство продолжает вести себя странно, весьма вероятно, что... Физическая опора выходит из строя.В таком случае рекомендуется заменить USB-накопитель или жесткий диск, прежде чем продолжать использовать с них ISO-образы.

Использование сторонних инструментов для проверки контрольных сумм в macOS

Хотя терминал macOS более чем справляется с основными задачами, он предоставляет и другие возможности. MD5 и SASHUNTНекоторые пользователи предпочитают графический интерфейс или более продвинутые функции, особенно при работе с большим количеством файлов или необходимости автоматизации проверок.

Есть такие приложения Быстрый хеш а также другие утилиты для вычисления контрольных сумм, позволяющие визуально рассчитывать хеши SHA1, SHA256 и другие, перетаскивая файлы или целые папки. Эти инструменты обычно отображают несколько сумм одновременно и упрощают копирование и сравнение результатов.

Если вы работаете с большим количеством ISO-образов, наличие подобного инструмента может быть очень полезным. централизовать все проверкисохранять журналы или даже проверять пакеты файлов, загруженных из разных проектов.

Однако принцип остается тем же: приложение генерирует хеш из ISO-файла, и вы сравниваете его с официальными значениями, опубликованными разработчиками. Поэтому надежность по-прежнему зависит от того, что вы используете. Используйте проверенные источники и сверяйте данные с достоверными источниками..

Проверка загруженного файла с помощью контрольных сумм, проверка носителя с помощью Дисковой утилиты и проверки целостности, которые Apple выполняет в recoveryOS, диагностике и прошивке, обеспечивают достаточно надежную цепочку безопасности, гарантирующую, что Надежны ли используемые вами ISO-образы для macOS, и загружается ли ваш компьютер из проверенных сред?.