Как я могу загрузить Mercurial и быть уверенным, что у меня есть невспечатанная копия?

Question

Я хотел бы загрузить Mercurial (не версия "Черепаха"), но могу найти только ссылку для скачивания http://mercurial.selenic.com/release/windows/Mercurial-2.4.2.exe, которая не является HTTPS ссылка на сайт. Загрузка этого файла дает мне неподписанный EXE-файл "Неизвестный издатель".

Как я могу быть уверен, что у меня есть нетронутая копия инструмента этого программиста.

Обратите внимание, что этот вопрос не должен критиковать издателей Mercurial. Мне просто интересно, как другие пользователи Mercurial проверяют, получили ли они хорошую загрузку перед запуском программы установки.

Answer 1

Как правило, допустимость любого данного файла может быть задана контрольной суммой MD5, поэтому посмотрите, можете ли вы найти опубликованную приемлемую сумму MD5 для нужного файла, и проверьте MD5 для вашего конкретного файла после загрузки. Публикация сумм MD5 является довольно распространенной практикой для многих вещей, особенно таких, как open source.

Скорее, как отмечает @KeithThompson, SHA1 лучше, хотя важно знать, что и MD5, и SHA1 могут быть подделаны с точностью, поэтому более сложные криптографические методы дадут более высокий уровень гарантии, но я не вижу опубликованных сигнатур MD5, SHA1 или более сложные методы, поэтому я предлагаю доверять комбинации MD5/SHA1 благодаря комментарию Кейта Томпсона:

e886b2d2469c848efd67af4c2b63d9d5 (md5)

a2f690fa544adac01fc9d8c66685129ac2d02cb1 (sha1)

Я полагаю, что будет сложнее подделать файл, чтобы он соответствовал обоим алгоритмам хеширования, чем один, поэтому есть небольшая помощь. Это если мы доверяем Кита Томпсону ... ;)

Answer 2

Те из них, которые находятся в репозитории TorbuiseHG Bitbucket (обратите внимание, что есть также простой Mercurial, без нашего THG), похоже, имеют действительную цифровую подпись, по крайней мере, .msi (однако вы можете скачать все через HTTPS). Странно, что на сайте Mercurial даже нет контрольной суммы.