„ProPrivacy“ programoje mes tiesiog meilė atvirojo kodo programinė įranga. Iš esmės taip yra todėl, kad nepaisant to, kad atviras šaltinis nėra tobulas, jis yra vienintelis būdas užtikrintai žinoti, ar programa yra lygiu.


Tačiau viena problema yra tai, kaip žinoti, kad atvirojo kodo programa, kurią atsisiunčiate iš svetainės, yra programa, kurią kūrėjas (-ai) ketino atsisiųsti? Kriptografinės maišos yra dalinis šios problemos sprendimas.

Kas yra kriptografinė maiša?

Kriptografinė maišos yra kontrolinė suma arba skaitmeninis pirštų atspaudas, gautas atliekant vienpusę maišos funkciją (matematinę operaciją) duomenims, kuriuos sudaro kompiuterio programa (arba kiti skaitmeniniai failai)..

Bet koks duomenų baito, kurį sudaro kompiuterio programa, pakeitimas pakeis maišos vertę. Taigi maišos vertė yra unikalus bet kurios programos ar kitų skaitmeninių failų pirštų atspaudas.

Kas yra maišos patikrinimas?

Įsitikinti, kad programa nebuvo suklastota ar tiktai nesugadinta, yra gana paprastas dalykas - apskaičiuoti jos maišos vertę ir palyginti ją su jos kūrėjų pateikta maišos kontroline suma..

Jei tai tas pats, tada jūs turite pagrįstą pasitikėjimą, kad atsisiųsta programa yra visiškai tokia pati, kurią paskelbė jos kūrėjas. Jei ne, tada programa tam tikru būdu buvo pakeista.

To priežastys ne visada yra klastingos (žr. Žemiau), tačiau nepavykus atlikti maišos patikrinimo, turėtų suskambėti aliarmo varpai.

Problemos dėl maišos tikrinimo

Gali būti, kad dainuodami pagyrimus apie maišos patikrinimus pastebėjote atsargumą...

Sąžiningumas, bet ne autentifikavimas

„Hash“ patikrinimai yra naudingi užtikrinant failų vientisumą, tačiau jie nesuteikia jokios rūšies autentifikacijos. Tai yra, jie yra tinkami užtikrinant, kad jūsų failas ar programa atitinka šaltinį, tačiau jie jokiu būdu negali patvirtinti, kad šaltinis yra teisėtas.

Hash patikrinimai negarantuoja maišos kontrolinės sumos šaltinio.

Pavyzdžiui, yra netikrų svetainių, kurios platina kenkėjiškas populiaraus atvirojo kodo programinės įrangos, tokios kaip „KeePass“, versijas. Daugelyje šių svetainių netgi pateikiamos suminės sumos už jų tiekiamas programas ir, jei jūs patikrintumėte jas pagal suklastotą programą, jos atitiktų. Oi.

Matematiniai trūkumai

Papildoma problema yra ta, kad matematiniai trūkumai gali reikšti, kad maišos nėra tokios saugios, kaip turėtų būti.

Pavyzdžiui, MD5 algoritmas išlieka labai populiari maišos funkcija, nepaisant žinomo pažeidžiamumo prieš susidūrimus. Tiesą sakant, net SHA1 šiuo metu nelaikomas saugiu.

Nepaisant to, MD5 ir SHA1 išlieka populiariausiais algoritmais, naudojamais maišos vertėms generuoti. Tačiau SHA256 išlieka saugus.

Kūrėjo tinginystė

Kūrėjai kartais atnaujina savo programas su klaidų pataisomis ir naujomis funkcijomis, tačiau pamiršta paskelbti atnaujintą maišos kontrolinę sumą. Dėl to nepavyksta patikrinti maišos, kai atsisiunčiate ir bandote patikrinti jų programą.

Tai, žinoma, niekur nėra toks rimtas kaip maišos patikrinimas, suteikiantis galimybę perduoti kenkėjišką programinę įrangą, tačiau tai gali sumažinti pasitikėjimą ekosistema, todėl žmonės nesivargina tikrinti atsiųstų failų vientisumo....

Kriptografinės maišos ir skaitmeniniai parašai

Daugelį kriptografinių maišų problemų išsprendžia skaitmeniniai parašai, kurie garantuoja vientisumą ir autentifikavimą..

Kūrėjai, kurie mielai naudojasi patentuotu kodu, gali automatiškai ir skaidriai patvirtinti parašus, kai jų programinė įranga pirmą kartą įdiegiama, naudojant tokius mechanizmus kaip „Microsoft“, „Apple“ ar „Google PKI“ (viešojo rakto infrastruktūra)..

Atvirojo kodo kūrėjai neturi šios prabangos. Jie turi naudoti PGP, kurio natūraliai nepalaiko jokia patentuota operacinė sistema, ir kodėl „Linux“ nėra „Microsoft“, „Apple“ ar „Google“ PKI atitikmenų..

Taigi PGP skaitmeniniai parašai turi būti patikrinti rankiniu būdu. Tačiau PGP yra visa naudotina kiaulė ir nėra paprastas procesas, nes tai trumpai apžvelgs mūsų PGP parašų tikrinimo Windows vadove pavyzdys..

Taip pat nėra tikrasis pasirašymo procesas kūrėjams, kurie puikiai supranta, kad realiame pasaulyje nedaugelis žmonių nerimauja tikrinti skaitmeninius parašus rankiniu būdu, bet kokiu atveju.

Kriptografinės maišos niekur nėra tokios saugios kaip PGP skaitmeniniai parašai, tačiau jas naudoti yra daug lengviau, todėl daugelis kūrėjų tiesiog pasirenka jomis pasitikėjimą, o ne skaitmeniškai pasirašo savo darbus..

Jūs tikrai turėtumėte patikrinti hash (jei nėra skaitmeninio parašo)

Tai yra mažiau nei ideali situacija ir visada turėtumėte patikrinti atvirojo kodo programos skaitmeninį parašą, kai toks yra. Tačiau jei tokio nėra, patikrinti kriptografinę maišos žymę yra geriau nei nieko nedaryti.

Jei esate įsitikinę šaltiniu (pavyzdžiui, esate tikri, kad tai yra tikroji kūrėjo svetainė, kurioje nebuvo nulaužta galimybė pateikti suklastotą kriptografinę maišos funkciją), tada tikrindami jos maišos vertę užtikrinsite teisingą sutapimo laipsnį, kad jūsų programinė įranga atsisiuntėte - tai programinė įranga, kurią jūsų kūrėjas ketino atsisiųsti.

Jei atvirojo kodo programinei įrangai nėra nei skaitmeninio parašo, nei kontrolinės sumos, neįdiekite jos ir paleiskite ją.

Kaip maišos patikrinimas

Pagrindinis procesas yra toks:

Neprivaloma subpozicija

  1. Užsirašykite apie kūrėjo paskelbtą maišos numerį
  2. Sukurkite turimo failo maišos vertę
  3. Palyginkite dviejų maišos verčių reikšmes

Jei jie yra identiški, tada turite failą, kurį kūrėjas ketino turėti. Jei ne, tada jis buvo sugadintas arba buvo sugadintas.

Jei yra SHA256 + maišos, patikrinkite. Jei ne, tada naudokite SHA1. Tik kaip paskutinę galimybę turėtumėte patikrinti, ar nėra MD5 maišos.

Lengvas būdas (visos sistemos)

Paprasčiausias būdas sukurti failų maišos vertę yra naudoti tokią svetainę kaip „Online Tools“. Tiesiog pasirinkite maišos vertės rūšį, kurią jums reikia sugeneruoti, tada vilkite ir upuść reikiamą failą į numatytą vietą ir bus sugeneruota atitinkama maišos vertė..

Pavyzdys

Norime patikrinti „KeePass“ diegimo failo, kurį atsisiuntėme iš „KeePass.org“ svetainės (kuris, kaip žinome, teisingas domenas), vientisumą. Svetainėje skelbiamos visų „KeePass“ versijų „MD5“, „SHA1“ ir „SHA256“ maišos, todėl mes patikrinsime, ar SHA256 nėra jūsų atsisiųstos versijos..

  1. Pažymime teisingą maišos vertę, paskelbtą „KeePass“ svetainėje.

  2. Tada mes lankomės internetinių įrankių svetainėje, pasirenkame „File Hash: SHA256“ ir vilkite atsisiųstą „KeePass“ diegimo failą į numatytą vietą..

  3. Mes lyginame rezultatus su kontroline suma, paskelbta „KeePass“ svetainėje, ir jie yra identiški. Taigi darant prielaidą, kad „KeePass“ svetainėje nebuvo įsilaužta, kad būtų rodomos klaidingos maišos vertės, mes galime būti tikri, kad atsisiuntėme neprivalomą failą. Valio!

    „Windows“, „MacOS“ ir „Linux“ taip pat turi įmontuotas maišos vertės funkcijas, kurias galima pasiekti naudojant komandinę eilutę...

„Windows“

Šis metodas veikia „Windows 10“ komplektacijoje, o „Windows 7“ vartotojai pirmiausia turi atnaujinti „Windows PowerShell“ naudodami „Windows Management Framework 4.0“..

Norėdami gauti SHA256 maišos klavišą, dešiniuoju pelės mygtuku spustelėkite Pradėti -> „Windows PowerShell“ ir tipas:

„Get-FileHash“ [kelias / į / failą]

Pavyzdžiui:

„Get-FileHash C“: \ Vartotojai \ „Douglas \ Parsisiuntimai \ KeePass-2.43-Setup.exe

MD5 ir SHA1 maišos gali būti apskaičiuojamos naudojant sintaksę:

„Get-FileHash“ [kelias į [kelią / į / failą] - MD5 algoritmas

ir

„Get-FileHash“ [kelias į [kelią / į / failą] - algoritmas SHA1

Pavyzdžiui:

„Get-FileHash C“: \ Vartotojai \ „Douglas \ Parsisiuntimai \ KeePass-2.43-Setup.exe-MD5 algoritmas

„MacOS“

Open Terminal ir tipas:

openssl [maišos tipas] [/ kelias / į / failą]

Maišymo tipas turėtų būti md5, SHA1 arba SHA256.

Pvz., Norėdami patikrinti „Windows KeePass“ diegimo programos SHA256 maišos funkciją (kad viskas būtų paprasčiau šiai mokymo programai), įveskite:

openssl sha256 /Users/douglascrawford/Downloads/KeePass-2.43-Setup.exe

„Linux“

Atidarykite terminalą ir įveskite:

„Md5sum“ [kelias / į / failą] „Sha1sum“ [kelias / į / failą]

arba

„Sha256sum“ [kelias / į / failą]

Pavyzdžiui:

„sha256sum /home/dougie/Downloads/KeePass-2.43-Setup.exe“

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me