Itt vagyunk a ProPrivacy-nál szerelem nyílt forráskódú szoftver. Ennek oka elsősorban az, hogy annak ellenére, hogy nem tökéletes, a nyílt forráskód biztosítja az egyetlen módot annak biztos megismerésére, hogy egy program szintje van.


Az egyik probléma az, hogy honnan tudhatja, hogy egy webhelyről letöltött nyílt forráskódú program az a program, amelyet a fejlesztő (k) a szándékoztak letölteni? A kriptográfiai kivonatok részleges megoldást jelentenek erre a problémára.

Mi a kriptográfiai kivonat??

A kriptográfiai kivonat egy ellenőrző összeg vagy digitális ujjlenyomat, amely egyirányú kivonat-funkció (matematikai művelet) végrehajtásával származik a számítógépi programot (vagy más digitális fájlt) tartalmazó adatokról.

A számítógépi programot tartalmazó adatok egy bájtjának bármilyen változása megváltoztatja a kivonat értéket. A hash érték tehát bármilyen program vagy más digitális fájl egyedi ujjlenyomata.

Mi az a hash check??

Annak biztosítása, hogy a programot nem hamisították meg, vagy csak megsérült-e, meglehetősen egyszerű kérdés, ha kiszámítja a hash értékét, majd összehasonlítja azt a fejlesztők által biztosított hash ellenőrző összeggel..

Ha ugyanaz, akkor ésszerűen bízik abban, hogy a letöltött program pontosan megegyezik a fejlesztõ által közzétett programmal. Ha nem, akkor a program valamilyen módon megváltozott.

Ennek okai nem mindig rosszindulatúak (lásd alább), de a sikertelen kivonat-ellenőrzésnek be kell állítania a riasztási csengőket.

Problémák a hash-ellenőrzésekkel

Lehet, hogy észlelte a körültekintést, amikor a hash-ellenőrzések dicséreteit énekelte...

Integritás, de nem hitelesítés

A hash ellenőrzések hasznosak a fájlok integritásának biztosításához, de nem nyújtanak semmilyen hitelesítést. Vagyis ezek biztosítják a meglévő fájl vagy program megfelelőségét a forráshoz, de nem teszik lehetővé annak ellenőrzését, hogy a forrás legitim.

A hash ellenőrzések nem garantálják a hash ellenőrző összeg forrását.

Például léteznek hamis webhelyek, amelyek olyan népszerű nyílt forráskódú szoftverek, mint például a KeePass, rosszindulatú verzióit terjesztik. Ezek közül a webhelyek közül sokan hash-ellenőrző összegeket is biztosítanak az általuk szállított programokhoz, és ha ezeket ellenőrizted a hamis programmal szemben, akkor megfelelnek. Hoppá.

Matematikai gyengeségek

További probléma az, hogy a matematikai gyengeségek azt jelenthetik, hogy a hash nem olyan biztonságos, mint amilyennek kellene lennie.

Például az MD5 algoritmus továbbra is rendkívül népszerű hash-funkció, annak ellenére, hogy az ütközéses támadásokkal szemben sebezhető. Valójában még az SHA1-et sem tekintik biztonságosnak ebben a tekintetben.

Ennek ellenére az MD5 és az SHA1 továbbra is a legnépszerűbb algoritmusok a hash értékek létrehozásához. Az SHA256 azonban továbbra is biztonságos.

Fejlesztői lustaság

A fejlesztők időnként frissítik programjaikat hibajavításokkal és új funkciókkal, de elhanyagolják a frissített hash-ellenőrző összeg közzétételét. Ez sikertelen kivonat-ellenőrzést eredményez, amikor letölti és megpróbálja ellenőrizni a programot.

Ez természetesen semmilyen közel sem olyan súlyos, mint a hash ellenőrzés, amely rosszindulatú szoftvereket ad át, de ez ronthatja az ökoszisztéma iránti bizalmat, aminek eredményeként az emberek nem zavarják ellenőrizni a letöltött fájlok integritását....

Kriptográfiai kivonatok vs. digitális aláírások

A kriptográfiai hash-ok legtöbb problémáját digitális aláírásokkal oldják meg, amelyek garantálják mind az integritást, mind a hitelesítést.

A fejlesztők, akik örömmel használják a védett kódot, automatikusan és átlátható módon érvényesíthetik az aláírásokat a szoftver első telepítésekor, például a Microsoft, az Apple vagy a Google PKI (nyilvános kulcsú infrastruktúra) technológiák felhasználásával..

A nyílt forráskódú fejlesztők nem élvezhetik ezt a luxust. Használnia kell a PGP-t, amelyet természetesen nem támogat egyetlen saját operációs rendszer, és miért nem létezik Microsoft, Apple vagy Google PKI ekvivalens Linuxban.

Tehát a PGP digitális aláírásait kézzel kell ellenőrizni. De a PGP egy teljes felhasználható sertés, és nem egyszerű eljárás, ahogyan a PGP aláírások ellenőrzéséhez a Windows-on található rövid áttekintés bemutatja.

A tényleges aláírási folyamat sem a fejlesztők számára, akik jól tudják, hogy a való világban kevés ember zavarja a digitális aláírások kézi ellenőrzését, egyébként.

A kriptográfiai kivonatok sehol sem olyan biztonságosak, mint a PGP digitális aláírások, ám ezek sokkal könnyebben használhatók, amelynek eredményeként sok fejlesztő egyszerűen csak rájuk támaszkodik, ahelyett, hogy munkáját digitálisan aláírná..

Valójában ellenőrizze a hash-et (ha nincs digitális aláírás)

Ez kevésbé ideális helyzet, és mindig ellenőrizze a nyílt forráskódú program digitális aláírását, ha rendelkezésre áll. Ha nem az, akkor a kriptográfiai kivonat ellenőrzése sokkal jobb, mint ha nem tesz semmit.

Mindaddig, amíg biztos benne a forrásban (például biztos abban, hogy a fejlesztő valódi webhelyéről érkezett, amelyet nem hackertek hamis kriptográfiai kivonat megjelenítésére), akkor a hash értékének ellenőrzése valós véletlenszerűséget biztosít, hogy a szoftver a letöltött az a szoftver, amelyet a fejlesztő szánt a letöltésre.

Ha sem digitális aláírás, sem ellenőrző összeg nem áll rendelkezésre a nyílt forráskódú szoftverekhez, akkor ne telepítse vagy futtassa.

Hogyan hash ellenőrzés

Az alapvető folyamat a következő:

Opcionális alszám

  1. Jegyezze fel a fejlesztő által közzétett hash-számot
  2. Generálja a meglévő fájl hash értékét
  3. Hasonlítsa össze a két hash értéket

Ha azonosak, akkor megvan a fájl, amelyet a fejlesztő szándékozott neked. Ha nem, akkor vagy megsérült, vagy megsértették.

Ha rendelkezésre áll egy SHA256 + kivonat, ellenőrizze azt. Ha nem, akkor használja az SHA1-et. Csak végső esetben ellenőrizze az MD5 kivonatot.

Könnyű út (minden rendszer)

A fájlok hash-értékének előállításának legegyszerűbb módja egy olyan webhely használata, mint például az Online Tools. Csak válassza ki a létrehozandó hash-értéket, majd húzza a kívánt fájlt a megadott helyre, és a megfelelő hash-érték generálódik.

Példa

Ellenőrizni akarjuk a KeePass telepítőfájl integritását, amelyet letöltöttünk a KeePass.org webhelyről (amelyről tudjuk, hogy a megfelelő domain). A weboldal MD5, SHA1 és SHA256 kivonatokat tesz közzé KeePass összes verziója esetén, így ellenőrizni fogjuk az SHA256 verziót a letöltött verzióra..

  1. Feljegyezzük a helyes hash értéket, ahogyan azt a KeePass weboldalon közzétettük.

  2. Ezután meglátogatjuk az Online Tools webhelyet, kiválasztjuk a File Hash: SHA256 fájlt, és húzzuk a letöltött KeePass telepítőfájlt a megadott helyre..

  3. Összehasonlítjuk a kimenetet a KeePass webhelyen közzétett ellenőrző összeggel, és ezek azonosak. Tehát feltételezve, hogy a KeePass webhelyén nem történt feltörés hamis hash-értékek megjelenítésére, biztosak lehetünk abban, hogy letöltöttünk egy nem megfelelő formátumú fájlt. Hurrá!

    A Windows, a MacOS és a Linux szintén beépített hash-függvény funkciókkal rendelkezik, amelyek a parancssorból érhetők el...

ablakok

Ez a módszer a Windows 10 rendszerben dobozból nem működik, míg a Windows 7 felhasználóknak először frissíteniük kell a Windows PowerShell szoftvert a Windows Management Framework 4.0 segítségével..

SHA256 kivonat megszerzéséhez kattintson a jobb gombbal a Start gombra -> Windows PowerShell és típus:

Get-FileHash [elérési út / fájlhoz]

Például:

Get-FileHash C: \ Felhasználók \ Douglas \ Letöltések \ KeePass-2.43-Setup.exe

Az MD5 és SHA1 kivonatok kiszámíthatók a szintaxissal:

Get-FileHash [elérési út [elérési út / fájlhoz / fájlhoz] - MD5 algoritmus

és

Get-FileHash [elérési út [elérési út / fájlhoz / fájlhoz] -A SHA1 algoritmus

Például:

Get-FileHash C: \ Felhasználók \ Douglas \ Letöltések \ KeePass-2.43-Setup.exe - MD5 algoritmus

Mac operációs rendszer

Nyílt terminál és típus:

openssl [hash type] [/ elérési út / fájlba]

A hasítójel típusának md5, SHA1 vagy SHA256 lehet.

Például, ha ellenőrizni szeretné a SHA256 kivonatot a Windows KeePass telepítőjéhez (csak azért, hogy a dolgok egyszerűek maradjanak az oktatóanyagban), írja be:

openssl sha256 /Users/douglascrawford/Downloads/KeePass-2.43-Setup.exe

Linux

Nyissa meg a terminált, és írja be:

Md5sum [útvonal / fájlhoz] Sha1sum [útvonal / fájlhoz]

vagy

Sha256sum [elérési út / fájlhoz]

Például:

sha256sum /home/dougie/Downloads/KeePass-2.43-Setup.exe

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me