<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 12 Apr 2019, 20:29 Jeremy Stanley, <<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2019-04-12 09:27:35 -0500 (-0500), Sean McGinnis wrote:<br>
[...]<br>
> Hmm, according to the spec, Nova verifies those checksums as of Mitaka [0].<br>
> Though Cinder did not get the same enforcement until Rocky [1].<br>
> <br>
> [0] <a href="https://specs.openstack.org/openstack/nova-specs/specs/mitaka/implemented/image-verification.html" rel="noreferrer noreferrer" target="_blank">https://specs.openstack.org/openstack/nova-specs/specs/mitaka/implemented/image-verification.html</a><br>
> [1] <a href="https://specs.openstack.org/openstack/cinder-specs/specs/rocky/support-image-signature-verification.html" rel="noreferrer noreferrer" target="_blank">https://specs.openstack.org/openstack/cinder-specs/specs/rocky/support-image-signature-verification.html</a><br>
> <br>
> (And specs are always 100% accurate, right?)<br>
<br>
Neat, I had no idea that had improved in the past few years. At any<br>
rate, my main point still stands: if you don't trust the operators<br>
of that environment then the checksums are pure theater, since they<br>
could disable checksum validation or even just serve you a<br>
completely fictional hash from the catalog.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Fictional hash - how true it really is sometimes. Don't trust the checksums. In the cloud I'm using the uploaded image is being automatically converted for a backend storage by a plugin, therefore the checksum us just a trash. And you anyway can't download image back, so you can't do anything with the checksum anyway.</div><div dir="auto"><br></div><div dir="auto">Artem</div></div>