Овде на ПроПриваци управо љубав софтвер са отвореним кодом. То је углавном зато што, иако није савршен, отворени код пружа једини начин да се сигурно сазна да је програм на нивоу.

Један проблем је, међутим, како знати да је програм отвореног кода који преузмете са веб локације програм који су његови програмери намеравали да преузму? Криптографски хешеви су делимично решење овог проблема.

Шта је криптографски хасх?

Криптографски хасх је контролни зброј или дигитални отисак прста изведен обављањем једносмјерне хасх функције (математичке операције) на подацима који садрже рачунарски програм (или друге дигиталне датотеке).

Свака промена у само једном бајту података који садржи рачунарски програм ће променити хасх вредност. Хасх вредност је, дакле, јединствен отисак прста за било који програм или друге дигиталне датотеке.

Шта је хасх чек?

Осигурати да програм није спреман или је само оштећен, прилично је једноставна ствар израчунавања вредности хасх-а, а затим упоређивања са контролним звањем хасх-а који су му дали програмери.


Ако је то исто, тада имате разуман степен уверења да је програм који сте преузели потпуно исти као онај који је објавио његов програмер. Ако није, онда је програм на неки начин промењен.

Разлози за то нису увек злонамерни (види доле), али неуспела провера хасх-а требало би да постави звона аларма.

Проблеми са хасх чековима

Можда сте открили ноту опреза док певате похвале хасх чекова...

Интегритет, али не и аутентификација

Хасх чекови су корисни за обезбеђивање интегритета датотека, али не пружају никакву аутентификацију. То јест, они су добри за осигуравање да се датотека или програм који имате одговарају извору, али не пружају начин да се потврди да је извор легитиман.

Хасх чекови не дају гаранције у вези са извором контролне суме.

На пример, постоје лажни веб сајтови који дистрибуирају злонамерне верзије популарног софтвера отвореног кода, као што је КееПасс. Многе од ових веб локација чак пружају хасх контролне сумме за програме које испоручују и, да ли бисте их проверили у односу на лажни програм, они би се подударали. Упс.

Математичке слабости

Додатни проблем је што математичке слабости могу значити да хешеви нису толико сигурни као што би требали бити.

МД5 алгоритам, на пример, остаје веома популарна хасх функција, упркос познатој рањивости на колизионе нападе. Заправо, чак се ни СХА1 у том погледу више не сматра сигурним.

Упркос томе, МД5 и СХА1 остају најпопуларнији алгоритми који се користе за генерисање хасх вредности. СХА256, међутим, остаје сигуран.

Љепљивост за програмере

Програмери понекад ажурирају своје програме исправкама грешака и новим функцијама, али занемарују објављивање ажурираног контролног зрна хасх-а. То резултира неуспешном провером хасх-а када преузмете и покушате да верификујете њихов програм.

То, наравно, није ни близу тако озбиљно као што је хасх чек који дозвољава злонамерном софтверу, али може погоршати поверење у екосистем, што резултира да се људи не труде да провере интегритет датотека које преузму...

Криптографски хешеви и дигитални потписи

Већина проблема са криптографским хешевима отклоњена је употребом дигиталних потписа, који гарантују и интегритет и аутентификацију.

Програмери који радо користе власнички код могу аутоматски и транспарентно проверити потписе приликом првог инсталирања софтвера, користећи механизме као што су Мицрософт, Аппле или Гоогле ПКИ (инфраструктура јавних кључева).

Програмери отвореног кода немају овај луксуз. Морају да користе ПГП, који није изворно подржан од стране било ког власничког оперативног система, и зашто у Линук-у не постоје еквивалентни Мицрософт, Аппле или Гоогле ПКИ.

Дакле, дигитални потписи ПГП-а морају се потврдити ручно. Али ПГП је комплетна свиња коју треба користити и није једноставан процес, јер ће брзо показати наш водич за проверу ПГП потписа у Виндовс-у..

Ни процес потписивања није стварни за програмере који су свесни да се у стварном свету мало људи труди да ручно провере дигитални потпис..

Криптографски хешеви нису нигде сигурни као ПГП дигитални потписи, али их је много лакше користити, што резултира да се многи програмери једноставно одлуче ослонити на њих уместо да дигитално потпишу свој рад..

Стварно бисте требали провјерити хасх (ако нема дигиталног потписа)

Ово је мање него идеална ситуација и увек бисте требали проверити дигитални потпис програма отвореног кода када је такав доступан. Ако то ипак није, тада је провјеравање његовог криптографског хасх-а много боље него ништа.

Све док сте сигурни у извор (на пример, сигурни сте да је са стварне веб локације развојног програмера, која није била хакована да прикаже лажни криптографски хасх), а затим провера његове хасх вредности пружа приличан степен случајности да софтвер који имате су преузели софтвер који је његов програмер наменио за преузимање.

Ако ни за дигитални потпис ни за проверу није доступан софтвер отвореног кода, немојте га инсталирати или покретати.

Како хасх чек

Основни поступак је следећи:

Необавезни подброј

  1. Забележите хасх број који је објавио програмер
  2. Генеришите хасх вредност датотеке коју имате
  3. Упоредите две вредности хасх-а

Ако су идентичне, имате датотеку коју је програмер намеравао да имате. Ако не, онда се или покварила или је била неовлаштено уништена.

Ако је доступан СХА256 + хасх, проверите да ли је. Ако не, онда користите СХА1. Само као крајње средство проверите да ли има МД5 хасх-а.

Једноставан начин (сви системи)

Најједноставнији начин генерисања вредности хасх датотека је коришћење веб странице као што су Интернет Тоолс. Једноставно одаберите врсту хасх вредности коју треба да генеришете, а затим превуците и испустите потребну датотеку у додељени простор, а релевантна хеш вредност ће се генерисати.

Пример

Желимо да проверимо интегритет КееПасс датотеке за инсталацију коју смо преузели са веб локације КееПасс.орг (за коју знамо да је точан домен). Веб локација објављује хасхе МД5, СХА1 и СХА256 за све верзије његовог КееПасс-а, тако да ћемо проверити СХА256 за верзију коју смо преузели.

  1. Записујемо тачну вредност хасх-а, објављену на веб локацији КееПасс.

  2. Затим посећујемо веб локацију Онлине Тоолс, изаберемо датотеку Хасх: СХА256 и превучемо нашу преузету датотеку за инсталацију КееПасс у предвиђени простор.

  3. Излаз упоређујемо са контролним зумом објављеним на веб локацији КееПасс и они су идентични. Дакле, под претпоставком да веб локација КееПасс није хакована да приказује лажне хасх вредности, можемо бити сигурни да смо преузели датотеку без обраде. То, бре!

    Виндовс, мацОС и Линук такође имају уграђене функције хасх вредности којима се може приступити путем командне линије...

Виндовс

Ова метода делује неуобичајено у Виндовс-у 10, док корисници система Виндовс 7 прво морају да ажурирају Виндовс ПоверСхелл помоћу система Виндовс Манагемент Фрамеворк 4.0.

Да бисте добили СХА256 хасх, десним тастером миша кликните Старт -> Виндовс ПоверСхелл и откуцајте:

Гет-ФилеХасх [пут / до / датотека]

На пример:

Гет-ФилеХасх Ц: \ Корисници \ Доуглас \ Довнлоадс \ КееПасс-2.43-Сетуп.еке

МД5 и СХА1 хешеви се могу израчунати користећи синтаксу:

Гет-ФилеХасх [пут до [пута / до / датотеке] -Алгоритам МД5

и

Гет-ФилеХасх [пут до [пута / до / датотеке] -Алгоритам СХА1

На пример:

Гет-ФилеХасх Ц: \ Корисници \ Доуглас \ Довнлоадс \ КееПасс-2.43-Сетуп.еке -Алгоритам МД5

мацОС

Отворите терминал и утипкајте:

опенссл [тип хасх] [/ пут / до / филе]

Хасх тип треба да буде мд5, СХА1 или СХА256.

На пример, да бисте проверили хасх СХА256 за инсталациони програм Виндовс КееПасс (само да ствари не буду једноставне за овај водич), откуцајте:

опенссл сха256 /Усерс/доугласцравфорд/Довнлоадс/КееПасс-2.43-Сетуп.еке

Линук

Отворите терминал и откуцајте било:

Мд5сум [пут / до / датотека] Сха1сум [пут / до / датотека]

или

Сха256сум [пут / до / датотека]

На пример:

сха256сум /хоме/доугие/Довнлоадс/КееПасс-2.43-Сетуп.еке

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me