Šeit, ProPrivacy, mēs vienkārši mīlestība atvērtā koda programmatūra. Tas notiek galvenokārt tāpēc, ka, neraugoties uz to, ka atvērts avots nav ideāls, tas ir vienīgais veids, kā droši zināt, ka programma ir līmenī.


Tomēr viena problēma ir, kā jūs zināt, ka atvērtā koda programma, kuru lejupielādējat no vietnes, ir programma, kuru tā izstrādātājs (-i) ir paredzējis jums lejupielādēt? Kriptogrāfijas hashes ir daļējs šīs problēmas risinājums.

Kas ir kriptogrāfijas hash?

Kriptogrāfijas hash ir kontrolsumma vai digitālais pirkstu nospiedums, kas iegūts, veicot vienvirziena hash funkciju (matemātisku operāciju) datiem, kas satur datorprogrammu (vai citus digitālos failus)..

Jebkuras izmaiņas tikai vienā baitā datos, kas satur datorprogrammu, mainīs hash vērtību. Tādējādi hash vērtība ir unikāls jebkuras programmas vai citu digitālo failu pirkstu nospiedums.

Kas ir hash pārbaude?

Pārliecinoties, ka programma nav tikusi sagrozīta vai tikko sabojāta, ir diezgan vienkāršs jautājums - jāaprēķina tās jaucējvērtība un pēc tam jāsalīdzina ar tās izstrādātāju nodrošināto kešatmiņas kontrolsummu..

Ja tas pats, tad jums ir pietiekama pārliecība, ka lejupielādētā programma ir tieši tāda pati kā tās izstrādātāja publicētā programma. Ja tā nav, tad programma ir kaut kādā veidā mainīta.

Iemesli tam ne vienmēr ir ļaunprātīgi (skatīt zemāk), taču neveiksmīgai hash pārbaudei vajadzētu iestatīt trauksmes zvanus.

Problēmas ar hash pārbaudēm

Dziedot slavēšanas par hash pārbaudēm, iespējams, esat pamanījis piesardzības piezīmi...

Integritāte, bet ne autentifikācija

Jaucējpārbaudes ir noderīgas, lai nodrošinātu failu integritāti, taču tās nenodrošina nekāda veida autentifikāciju. Tas ir, tie ir labi, lai nodrošinātu jūsu faila vai programmas atbilstību avotam, taču tie nekādā veidā nevar pārbaudīt, vai avots ir likumīgs.

Izpratnes pārbaude negarantē hash kontrolsummas avotu.

Piemēram, pastāv viltotas vietnes, kas izplata tādas populāras atvērtā pirmkoda programmatūras kā KeePass ļaunprātīgas versijas. Daudzas no šīm vietnēm pat nodrošina hash kontrolsummas programmām, kuras tās piegādā, un, ja jūs pārbaudītu šīs programmas pret viltus programmu, tās atbilstu. Hmm ....

Matemātiskās nepilnības

Papildu problēma ir tā, ka matemātiskās nepilnības var nozīmēt, ka jaucējkrāni nav tik droši, kā vajadzētu.

Piemēram, MD5 algoritms joprojām ir ļoti populārs jaucējfunkcija, neskatoties uz tā zināmo neaizsargātību pret sadursmes uzbrukumiem. Patiešām, pat SHA1 šajā sakarā vairs netiek uzskatīts par drošu.

Neskatoties uz to, MD5 un SHA1 joprojām ir vispopulārākie algoritmi, ko izmanto hash vērtību ģenerēšanai. SHA256 tomēr ir drošs.

Izstrādātāju slinkums

Izstrādātāji dažreiz atjaunina savas programmas ar kļūdu labojumiem un jaunām funkcijām, taču nevēlas publicēt atjauninātu hash kontrolsummu. Rezultātā neizdodas hash pārbaude, kad lejupielādējat un mēģināt verificēt viņu programmu.

Tas, protams, nav tik nopietns kā jaucējpārbaude, kas dod ļaundabīgai programmatūrai atļauju, taču tā var mazināt uzticēšanos ekosistēmai, kā rezultātā cilvēki neuztraucas pārbaudīt lejupielādēto failu integritāti....

Kriptogrāfijas jaucējzīmes pret ciparparakstiem

Lielāko daļu ar kriptogrāfisko jaukšanu saistīto problēmu atrisina, izmantojot ciparparakstus, kas garantē gan integritāti, gan autentifikāciju.

Izstrādātāji, kuri labprāt izmanto patentēto kodu, var automātiski un caurskatāmi apstiprināt parakstus, kad viņu programmatūra ir pirmo reizi instalēta, izmantojot tādus mehānismus kā Microsoft, Apple vai Google PKI (publiskās atslēgas infrastruktūra) tehnoloģijas..

Atvērtā koda izstrādātājiem nav šādas greznības. Viņiem ir jāizmanto PGP, kuru neatbalsta vietējā tirgū neviena patentēta operētājsistēma, un kāpēc Linux, Microsoft, Apple vai Google PKI nav ekvivalentu.

Tātad PGP digitālie paraksti ir jāpārbauda manuāli. Bet PGP ir pilnīgs lietojams cūka, un tas nav vienkāršs process, kā parādīs īss mūsu ceļvedis PGP parakstu pārbaudei operētājsistēmā Windows.

Arī reālais parakstīšanas process nav izstrādāts izstrādātājiem, kuri labi zina, ka reālajā pasaulē tikai daži cilvēki neuztraucas pārbaudīt ciparparakstus manuāli, jebkurā gadījumā.

Kriptogrāfijas sajaukumi nekur nav tik droši kā PGP digitālie paraksti, taču tos ir daudz vieglāk izmantot, kā rezultātā daudzi izstrādātāji vienkārši izvēlas paļauties uz tiem, nevis digitāli parakstīt darbu.

Jums tiešām vajadzētu hash check (ja nav digitālā paraksta)

Šī ir mazāk nekā ideāla situācija, un jums vienmēr jāpārbauda atvērtā koda programmas digitālais paraksts, kad tāds ir pieejams. Tomēr, ja tāda nav, tad kriptogrāfijas sajaukšanas pārbaude ir daudz labāka nekā neko nedarīt.

Kamēr esat pārliecināts par avotu (piemēram, esat pārliecināts, ka tas ir no izstrādātāja reālās vietnes, kurā vēl nav uzlauzts viltotas kriptogrāfijas jaucējkrāns), pārbaudot tā jaucējvērtību, tiek nodrošināta diezgan liela sakritības pakāpe, ka programmatūra, kuru jūs izmantojat lejupielādējat ir programmatūra, kuru izstrādātājs ir paredzējis jums lejupielādēt.

Ja atvērtā pirmkoda programmatūrai nav pieejams ne ciparparaksts, ne kontrolsumma, neinstalējiet un nedarbiniet to.

Kā hash pārbaude

Pamata process ir šāds:

Izvēles apakšpozīcija

  1. Pierakstiet hash numuru, ko publicējis izstrādātājs
  2. Ģenerējiet jūsu faila hash vērtību
  3. Salīdziniet abas hash vērtības

Ja tie ir identiski, tad jums ir fails, kuru izstrādātājs jums iecerējis. Ja nē, tad tas ir vai nu sabojāts, vai arī ir ticis mainīts.

Ja ir pieejama SHA256 + hash, pārbaudiet to. Ja nē, tad izmantojiet SHA1. Tikai kā pēdējais līdzeklis jums jāpārbauda, ​​vai nav MD5 maiņas.

Vienkāršs veids (visas sistēmas)

Vienkāršākais veids, kā ģenerēt failu hash vērtību, ir tīmekļa vietnes, piemēram, tiešsaistes rīku, izmantošana. Vienkārši atlasiet ģenerējamās hash vērtības veidu, pēc tam velciet un nometiet nepieciešamo failu paredzētajā vietā, un tiks ģenerēta atbilstošā hash vērtība..

Piemērs

Mēs vēlamies pārbaudīt KeePass instalēšanas faila integritāti, ko esam lejupielādējuši no KeePass.org vietnes (kura, kā mēs zinām, ir pareizais domēns). Vietne publicē MD5, SHA1 un SHA256 hash visām KeePass versijām, tāpēc mēs pārbaudīsim SHA256, lai lejupielādētu versiju.

  1. Mēs pierakstām pareizo jauciena vērtību, kā publicēts KeePass vietnē.

  2. Pēc tam mēs apmeklējam tiešsaistes rīku vietni, atlasām File Hash: SHA256 un velciet mūsu lejupielādēto KeePass instalēšanas failu paredzētajā vietā.

  3. Mēs salīdzinām izvadi ar kontrolsummu, kas publicēta KeePass vietnē, un tie ir identiski. Tātad, pieņemot, ka KeePass vietne nav uzlauzta, lai parādītu nepatiesas hash vērtības, mēs varam būt pārliecināti, ka mēs esam lejupielādējuši failu ar netraucētu versiju. Yay!

    Windows, macOS un Linux ir arī iebūvētas hash vērtības funkcijas, kurām var piekļūt, izmantojot komandrindu...

Windows

Šī metode darbojas ārpus sistēmas Windows 10, bet Windows 7 lietotājiem vispirms ir jāatjaunina Windows PowerShell ar Windows Management Framework 4.0.

Lai iegūtu SHA256 hash, ar peles labo pogu noklikšķiniet uz Start -> Windows PowerShell un tips:

Get-FileHash [ceļš / uz / fails]

Piemēram:

Get-FileHash C: \ Lietotāji \ Douglas \ Lejupielādes \ KeePass-2.43-Setup.exe

MD5 un SHA1 hashes var aprēķināt, izmantojot sintakse:

Get-FileHash [ceļš uz [ceļš uz / failu / failu] -Algorithm MD5

un

Get-FileHash [ceļš uz [ceļš uz / failu / failu] - algoritms SHA1

Piemēram:

Get-FileHash C: \ Lietotāji \ Douglas \ Lejupielādes \ KeePass-2,43-Setup.exe -Algorithm MD5

MacOS

Atvērt terminālu un tips:

openssl [hash type] [/ ceļš / uz / fails]

Hash veidam jābūt md5, SHA1 vai SHA256.

Piemēram, lai pārbaudītu SHA256 jaucējkrānu Windows KeePass instalētājam (tikai lai šī apmācība būtu vienkārša), ierakstiet:

openssl sha256 /Users/douglascrawford/Downloads/KeePass-2.43-Setup.exe

Linux

Atveriet termināli un ierakstiet:

Md5sum [ceļš / uz / fails] Sha1sum [ceļš / uz / fails]

vai

Sha256sum [ceļš / uz / fails]

Piemēram:

sha256sum /home/dougie/Downloads/KeePass-2.43-Setup.exe

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me