Di sini di ProPrivacy kami hanya cinta perisian sumber terbuka. Ini adalah kerana, walaupun tidak sempurna, sumber terbuka menyediakan satu-satunya cara untuk mengetahui dengan pasti bahawa program berada di peringkat.


Namun, satu masalah ialah bagaimana anda tahu bahawa program sumber terbuka yang anda muat turun dari laman web adalah program pemaju yang ingin anda muat turun? Hash kriptografi adalah penyelesaian separa untuk masalah ini.

Apakah hash kriptografi?

Hash kriptografi adalah cek jari atau digital yang diperoleh dengan melakukan fungsi hash satu arah (operasi matematik) pada data yang terdiri daripada program komputer (atau fail digital lain).

Apa-apa perubahan dalam hanya satu bait data yang merangkumi program komputer akan mengubah nilai hash. Oleh itu, nilai hash ialah cap jari yang unik untuk mana-mana program atau fail digital lain.

Apakah cek hash??

Memastikan bahawa program tidak diganggu, atau hanya rosak, adalah satu perkara yang agak mudah untuk mengira nilai hashnya dan kemudian membandingkannya dengan hash checksum yang disediakan oleh pemajunya.

Sekiranya ia sama, maka anda mempunyai keyakinan yang munasabah bahawa program yang anda telah muat turun adalah sama seperti yang diterbitkan oleh pemajunya. Sekiranya tidak, maka program ini telah berubah dalam beberapa cara.

Alasan untuk ini tidak selalu berniat jahat (lihat di bawah), tetapi cek hash yang gagal harus menetapkan bunyi loceng penggera.

Masalah dengan cek hash

Anda mungkin mengesan nota berhati-hati apabila menyanyikan puji hash cek...

Integriti tetapi tidak pengesahan

Pemeriksaan hash berguna untuk memastikan integriti fail, tetapi mereka tidak memberikan apa-apa jenis pengesahan. Iaitu, mereka baik untuk memastikan fail atau program yang anda sepadan dengan sumber, tetapi mereka tidak menyediakan cara untuk mengesahkan bahawa sumber itu adalah sah.

Pemeriksaan Hash tidak memberi jaminan tentang sumber pemeriksaan hash.

Sebagai contoh, terdapat laman web palsu yang mengedar versi perisian sumber terbuka yang popular seperti KeePass. Kebanyakan laman web ini juga menyediakan pemeriksaan hash untuk program yang mereka sediakan dan, adakah anda menyemak ini terhadap program palsu, mereka akan sepadan. Oops.

Kelemahan matematik

Satu masalah tambahan ialah kelemahan matematik boleh bermakna bahawa hash tidak selamat seperti yang sepatutnya.

Algoritma MD5, sebagai contoh, kekal sebagai fungsi hash yang sangat popular, walaupun diketahui kerentanan terhadap serangan perlanggaran. Malah, walaupun SHA1 tidak lagi dianggap selamat dalam hal ini.

Walaupun demikian, MD5 dan SHA1 tetap merupakan algoritma yang paling popular yang digunakan untuk menghasilkan nilai hash. Walau bagaimanapun, SHA256 tetap selamat.

Pemandu kemalasan

Pemaju kadangkala mengemas kini program mereka dengan pembetulan pepijat dan ciri-ciri baru, tetapi mengabaikan untuk menerbitkan pemeriksaan hash dikemas kini. Ini mengakibatkan cek hash yang gagal apabila anda memuat turun dan cuba mengesahkan program mereka.

Ini sememangnya tidak begitu serius seperti semakan hash yang memberikan perisian perosak lulus, tetapi ia boleh merendahkan kepercayaan pada ekosistem, menyebabkan orang tidak repot-repot memeriksa integriti fail yang mereka unduh...

Hash kriptografi vs tandatangan digital

Kebanyakan masalah dengan hash kriptografi ditetapkan dengan penggunaan tandatangan digital, yang menjamin integriti dan pengesahan.

Pemaju yang senang menggunakan kod proprietari boleh secara automatik dan telus mengesahkan tandatangan apabila perisian mereka mula dipasang, menggunakan mekanisme seperti Microsoft, Apple, atau Google PKI (infrastruktur utama awam) teknologi.

Pembangun sumber terbuka tidak mempunyai kemewahan ini. Mereka perlu menggunakan PGP, yang tidak disokong secara asli oleh sebarang sistem pengendalian proprietari, dan mengapa tidak ada setara dengan Microsoft, Apple atau PKI Google yang ada di Linux.

Oleh itu, tandatangan digital PGP mesti disahkan secara manual. Tetapi PGP adalah babi yang lengkap untuk digunakan dan bukan proses yang mudah, sebagai pandangan cepat di panduan kami untuk memeriksa tanda tangan PGP di Windows akan menunjukkan.

Proses menandatangani sebenar bukan juga untuk pemaju, yang menyedari bahawa di dunia nyata beberapa orang mengganggu untuk menandatangani tandatangan digital secara manual, bagaimanapun juga.

Hash kriptografi tidak berada di mana selamat sebagai tandatangan digital PGP, tetapi mereka lebih mudah digunakan, dengan hasil yang banyak pemaju hanya memilih untuk bergantung pada mereka daripada menandatangani secara digital karya mereka.

Anda semestinya perlu menyemak (jika tiada tandatangan digital hadir)

Ini adalah situasi yang kurang daripada ideal, dan anda harus sentiasa memeriksa tandatangan digital program sumber terbuka apabila ada. Walau bagaimanapun, jika tidak, periksa hash kriptografinya lebih baik daripada melakukan apa-apa.

Selagi anda yakin tentang sumbernya (sebagai contoh, anda pasti itu dari laman web pemaju sebenar, yang belum digodam untuk memaparkan hash kriptografi palsu), kemudian memeriksa nilai hashnya memberikan kebetulan yang adil bahawa perisian anda telah dimuat turun adalah perisian pemaju yang dimaksudkan untuk anda memuat turun.

Sekiranya tiada tandatangan digital atau cek yang tersedia untuk perisian sumber terbuka, maka jangan pasang atau jalankannya.

Bagaimana cara memeriksa hash

Proses asas adalah seperti berikut:

Subheading pilihan

  1. Buat nota nombor hash yang diterbitkan oleh pemaju
  2. Menjana nilai hash fail yang anda ada
  3. Bandingkan kedua-dua nilai hash

Sekiranya mereka sama, maka anda mempunyai file pemaju yang anda mahu. Jika tidak, maka ia sama ada menjadi rosak atau telah diganggu.

Jika hash SHA256 + tersedia, periksa terhadapnya. Sekiranya tidak, gunakan SHA1. Hanya sebagai usaha terakhir yang perlu anda periksa terhadap hash MD5.

Cara mudah (semua sistem)

Cara paling mudah untuk menghasilkan nilai hash fail adalah dengan menggunakan laman web seperti Alat Dalam Talian. Hanya pilih jenis hash yang anda perlukan untuk menjana, kemudian drag-and-drop fail yang diperlukan ke ruang yang disediakan dan nilai hadh yang berkaitan akan dihasilkan.

Contoh

Kami ingin memeriksa integriti fail pemasang KeePass yang telah kami muat turun dari laman web KeePass.org (yang kami tahu sebagai domain yang betul). Laman web itu menerbitkan MD5, SHA1, dan SHA256 untuk semua versi KeePassnya, jadi kami akan menyemak SHA256 untuk versi yang kami muat turun.

  1. Kami membuat nota nilai hash yang betul, seperti yang diterbitkan di laman web KeePass.

  2. Kami kemudian melawat laman web Alat Dalam Talian, pilih File Hash: SHA256, dan seret fail pemasang KeePass yang dimuat turun ke ruang yang disediakan.

  3. Kami membandingkan output dengan checksum yang diterbitkan di laman web KeePass dan mereka sama. Oleh itu, dengan mengandaikan bahawa laman web KeePass tidak digodam untuk memaparkan nilai hash palsu, kami yakin bahawa kami telah memuat turun fail yang tidak diterimapakai. Yay!

    Windows, macOS, dan Linux juga mempunyai fungsi nilai hash terbina dalam yang boleh diakses melalui baris arahan...

Windows

Kaedah ini berfungsi di luar kotak pada Windows 10, sementara pengguna Windows 7 perlu terlebih dahulu mengemas kini Windows PowerShell dengan Windows Management Framework 4.0.

Untuk mendapatkan hash SHA256, klik kanan Mula -> Windows PowerShell dan ketik:

Get-FileHash [path / to / file]

Sebagai contoh:

Get-FileHash C: \ Users \ Douglas \ Downloads \ KeePass-2.43-Setup.exe

Hashe MD5 dan SHA1 boleh dikira menggunakan sintaks:

Get-FileHash [laluan ke [path / to / file] -Algoritma MD5

dan

Get-FileHash [laluan ke [path / to / file] -Algoritma SHA1

Sebagai contoh:

Get-FileHash C: \ Users \ Douglas \ Downloads \ KeePass-2.43-Setup.exe -Agorgorithm MD5

macOS

Terminal Terbuka dan ketik:

openssl [hash type] [/ path / to / file]

Jenis Hash harus md5, SHA1, atau SHA256.

Sebagai contoh, untuk memeriksa hash SHA256 untuk pemasang Windows KeePass (hanya untuk memastikan perkara mudah untuk tutorial ini), ketik:

openssl sha256 /Users/douglascrawford/Downloads/KeePass-2.43-Setup.exe

Linux

Terminal Terbuka dan ketik sama ada:

Md5sum [path / to / file] Sha1sum [path / to / file]

atau

Sha256sum [path / to / file]

Sebagai contoh:

sha256sum /home/dougie/Downloads/KeePass-2.43-Setup.exe

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me