כאן ב- ProPrivacy אנחנו פשוט אהבה תוכנת קוד פתוח. זה בעיקר מכיוון שלמרות שאינו מושלם, קוד פתוח מספק את הדרך היחידה לדעת בוודאות שתוכנית ברמה.


עם זאת, בעיה אחת היא איך אתה יודע שתוכנית קוד פתוח שאתה מוריד מאתר אינטרנט היא התוכנית שהמפתחים שלה התכוונו להוריד? חיפושי קריפטוגרפיה הם פיתרון חלקי לבעיה זו.

מה זה חשיש קריפטוגרפי?

חשיש קריפטוגרפי הוא בדיקת בדיקת אצבע או טביעת אצבע דיגיטלית הנגזרת על ידי ביצוע פונקציית חשיש חד כיוונית (פעולה מתמטית) על הנתונים הכוללים תוכנית מחשב (או קבצים דיגיטליים אחרים).

כל שינוי בתים אחד בלבד של הנתונים הכוללים את תוכנית המחשב ישנה את ערך ה- hash. ערך החשיש הוא, אפוא, טביעת אצבע ייחודית לכל תוכנית או קבצים דיגיטליים אחרים.

מה זה בדיקת חשיש?

הבטחה שתוכנית לא טופלה בה או פשוט פגומה היא עניין די פשוט לחשב את ערך ה- hash שלה ואז להשוות אותה עם בדיקת ה- hash המסופקת על ידי המפתחים שלה..

אם זה אותו דבר, אז יש לך ביטחון סביר שהתוכנית שהורדת זהה לתכנית שפרסמה המפתחת שלה. אם זה לא, התוכנית שונתה בדרך כלשהי.

הסיבות לכך אינן תמיד זדוניות (ראה בהמשך), אך בדיקת חשיש כושלת צריכה להגדיר צלצול פעמוני אזעקה.

בעיות בבדיקות חשיש

יתכן שזיהית פתק של זהירות כששיר את שבחי צ'קים של חשיש...

יושרה אך לא אימות

בדיקות Hash מועילות להבטיח שלמות הקבצים, אך הן אינן מספקות אימות כלשהו. כלומר, הם טובים להבטיח שהקובץ או התוכנית שברשותכם תואמים את המקור, אך הם אינם מספקים דרך לאמת שהמקור לגיטימי.

בדיקות האש אינן ערבות למקור בדיקת החשיש.

לדוגמא, קיימים אתרים מזויפים המפיצים גרסאות זדוניות לתוכנות קוד פתוח פופולריות כמו KeePass. רבים מאתרי האינטרנט האלה אפילו מספקים בדיקות hash עבור התוכניות שהם מספקים, ואם היית בודק את אלה כנגד התוכנית המזויפת, הם יתאימו. אופס.

חולשות מתמטיות

בעיה נוספת היא שחולשות מתמטיות יכולות לגרום לחשיש לא להיות בטוחים כמו שהם צריכים להיות.

אלגוריתם MD5, למשל, נותר פונקצית hash פופולרית ביותר, למרות הפגיעות הידועה שלו להתקפות התנגשות. אכן, אפילו SHA1 כבר לא נחשבים בטוחים בעניין זה.

למרות זאת MD5 ו- SHA1 נותרו האלגוריתמים הפופולריים ביותר המשמשים לייצור ערכי hash. עם זאת, SHA256 נותרה בטוחה.

עצלות מפתחים

מפתחים לפעמים מעדכנים את התוכניות שלהם עם תיקוני באגים ותכונות חדשות, אך אינם מזניחים לפרסם בדיקת hash מעודכנת. התוצאה היא בדיקת hash שנכשל כשאתה מוריד ומנסה לאמת את התוכנית שלהם.

זה כמובן לא רציני כמו בדיקת חשיש המעניקה תוכנה זדונית לעבור, אך זה יכול להשפיל את האמון במערכת האקולוגית, וכתוצאה מכך אנשים לא טורחים לבדוק את שלמות הקבצים שהם מורידים....

חיפושי קריפטוגרפיה לעומת חתימות דיגיטליות

מרבית הבעיות בחפזות קריפטוגרפיות מתוקנות על ידי שימוש בחתימות דיגיטליות, המבטיחות הן שלמות והן אימות.

מפתחים ששמחים להשתמש בקוד קנייני יכולים לאמת חתימות באופן אוטומטי ושקוף בעת התקנת התוכנה שלהם לראשונה, באמצעות מנגנונים כמו מיקרוסופט, אפל, או גוגל PKI (טכנולוגיות תשתית מפתח ציבורי).

למפתחי קוד פתוח אין את היוקרה הזו. עליהם להשתמש ב- PGP, שאינו נתמך באופן טבעי על ידי מערכת הפעלה קניינית כלשהי, ומדוע אין שום מקבילה של PKI של מיקרוסופט, אפל או גוגל ב- Linux.

לכן יש לאמת חתימות דיגיטליות של PGP באופן ידני. אך PGP הוא חזיר שלם לשימוש ואינו תהליך פשוט, כפי שמציץ מבט מהיר במדריך שלנו לבדיקת חתימות PGP ב- Windows..

תהליך ההחתמה בפועל גם לא עבור מפתחים, המודעים היטב לכך שבעולם האמיתי מעטים אנשים טורחים לבדוק חתימות דיגיטליות באופן ידני, בכל מקרה.

חיפושי קריפטוגרפיה אינם בטוחים כמעט כמו חתימות דיגיטליות של PGP, אך הם קלים יותר לשימוש, כתוצאה מכך מפתחים רבים פשוט בוחרים להסתמך עליהם במקום לחתום דיגיטלית על עבודתם..

אתה באמת צריך לבדוק hash (אם לא קיימת חתימה דיגיטלית)

זהו מצב פחות אידיאלי, ועליך לבדוק תמיד את החתימה הדיגיטלית של תוכנית קוד פתוח כאשר קיימת כזו. עם זאת, אם אין זאת, בדיקת החשיש הקריפטוגרפי שלה טובה בהרבה מאשר לעשות דבר.

כל עוד אתה בטוח לגבי המקור (לדוגמה אתה בטוח שהוא מאתר האינטרנט האמיתי של היזם, שלא נפרץ להצגת חשיש קריפטוגרפי מזויף), בדיקת ערך ה- hash שלו מספקת מידת צירוף מקרים לכך שהתוכנה אתה שהורדת היא התוכנה שהמפתח שלה מיועד לך להוריד.

אם לא קיימת חתימה דיגיטלית ולא בדיקת בדיקה עבור תוכנת קוד פתוח, אל תתקין או תפעל אותה.

כיצד לבדוק hash

התהליך הבסיסי הוא כדלקמן:

כותרת משנה אופציונלית

  1. רשמו את מספר החשיש שפרסם היזם
  2. צור את ערך ה- hash של הקובץ שברשותך
  3. השווה בין שני ערכי החשיש

אם הם זהים, יש לך את הקובץ שהמפתח התכוון שיהיה לו. אם לא, אז היא פגומה או טופלה בה.

אם קיים Hash של SHA256 +, בדוק נגד זה. אם לא, השתמש ב- SHA1. רק כמפלט אחרון עליך לבדוק נגד חשיש MD5.

הדרך הקלה (כל המערכות)

הדרך הפשוטה ביותר לייצר את ערך ה- hash של קבצים היא באמצעות אתר אינטרנט כמו כלים מקוונים. פשוט בחר את סוג ערך ה- hash שאתה צריך לייצר, ואז גרור ושחרר את הקובץ הנדרש לשטח שסופק וערך ה- hash הרלוונטי ייווצר..

דוגמא

אנו רוצים לבדוק את שלמות קובץ ההתקנה של KeePass שהורדנו מאתר KeePass.org (שאנו יודעים שהוא התחום הנכון). האתר מפרסם את ה- MD5, SHA1 ו- SHA256 עבור כל הגרסאות של KeePass, לכן אנו נבדוק את ה- SHA256 עבור הגרסה שהורדנו..

  1. אנו רושמים את ערך ה- hash הנכון, כפי שפורסם באתר KeePass.

  2. לאחר מכן אנו מבקרים באתר הכלים המקוונים, בוחרים File Hash: SHA256 וגוררים את קובץ ההתקנה של KeePass שהורדת לחלל המסופק.

  3. אנו משווים את התפוקה לסכום הבדיקה שפורסם באתר KeePass והם זהים. אז בהנחה שאתר KeePass לא נפרץ להצגת ערכי חשיש שגויים, אנו יכולים להיות בטוחים שהורדנו קובץ שלא התייחס אליו. יש!

    לחלונות, macOS וללינוקס יש גם פונקציות מובנות של hash שניתן לגשת אליהן דרך שורת הפקודה...

חלונות

שיטה זו עובדת מחוץ לקופסה ב- Windows 10, בעוד שמשתמשים ב- Windows 7 צריכים לעדכן תחילה את Windows PowerShell באמצעות Windows Management Framework 4.0.

כדי להשיג hash של SHA256, לחץ באמצעות לחצן העכבר הימני על התחל -> Windows PowerShell והקלד:

Get-FileHash [נתיב / אל / קובץ]

לדוגמה:

Get-FileHash C: \ משתמשים \ דגלאס \ הורדות \ KeePass-2.43-Setup.exe

ניתן לחשב את MD5 ו- SHA1 באמצעות התחביר:

Get-FileHash [נתיב ל- [נתיב / אל / קובץ] -אלגוריתם MD5

ו

Get-FileHash [נתיב אל [נתיב / אל / קובץ] -אלגוריתם SHA1

לדוגמה:

Get-FileHash C: \ משתמשים \ דגלאס \ הורדות \ KeePass-2.43-Setup.exe - אלגוריתם MD5

macOS

מסוף פתוח וסוג:

openssl [סוג hash] [/ path / to / file]

סוג Hash צריך להיות md5, SHA1 או SHA256.

לדוגמה, כדי לבדוק את ה- Hash של SHA256 עבור מתקין Windows KeePass (רק כדי לשמור על דברים פשוטים עבור הדרכה זו), הקלד:

openssl sha256 /Users/douglascrawford/Downloads/KeePass-2.43-Setup.exe

לינוקס

פתח את המסוף והקלד את אחד מהם:

Md5sum [נתיב / אל / קובץ] Sha1sum [נתיב / אל / קובץ]

או

Sha256sum [נתיב / לקובץ]

לדוגמה:

sha256sum /home/dougie/Downloads/KeePass-2.43-Setup.exe

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me