Hvordan, hvorfor og hvornår du skal hash-check

Her på ProPrivacy vi bare kærlighed open source software. Dette skyldes hovedsageligt, at open source, til trods for ikke at være perfekt, den eneste måde at vide med sikkerhed om, at et program er på niveau.


Et problem er imidlertid, hvordan ved du, at et open source-program, du downloader fra et websted, er det program, dets udvikler (e) har til hensigt at downloade? Kryptografiske hashes er en delvis løsning på dette problem.

Hvad er en kryptografisk hash?

En kryptografisk hash er et kontrolsum eller digitalt fingeraftryk afledt ved at udføre en envejs hash-funktion (en matematisk operation) på dataene, der omfatter et computerprogram (eller andre digitale filer).

Enhver ændring i kun en byte af dataene, der indeholder computerprogrammet, ændrer hashværdien. Hash-værdien er derfor et unikt fingeraftryk for ethvert program eller andre digitale filer.

Hvad er en hash-check?

At sikre, at et program ikke er blevet manipuleret med eller bare ødelagt, er et forholdsvis simpelt spørgsmål om at beregne dets hashværdi og derefter sammenligne det med det hash-kontrolsum, som dets udviklere leverer.

Hvis det er det samme, har du en rimelig grad af tillid til, at det program, du har downloadet, er nøjagtigt det samme som det, der er udgivet af dets udvikler. Hvis det ikke er tilfældet, er programmet blevet ændret på en eller anden måde.

Årsagerne til dette er ikke altid ondsindede (se nedenfor), men en mislykket hash-kontrol skal indstille alarmklokker.

Problemer med hashchecks

Du har muligvis opdaget en note af forsigtighed, når du sang roserne af hashchecks...

Integritet, men ikke godkendelse

Hashchecks er nyttige til at sikre filernes integritet, men de giver ikke nogen form for godkendelse. Det vil sige, de er gode til at sikre, at den fil eller det program, du har, matcher kilden, men de giver ingen måde at verificere, at kilden er legitim.

Hashchecks giver ingen garanti for kilden til hashchecksummen.

For eksempel findes falske websteder, der distribuerer ondsindede versioner af populær open source-software, såsom KeePass. Mange af disse websteder leverer endda hasjekontrol for de programmer, de leverer, og hvis du skulle kontrollere disse mod det falske program, ville de matche. Ups.

Matematiske svagheder

Et yderligere problem er, at matematiske svagheder kan betyde, at hasjer ikke er så sikre, som de burde være.

For eksempel forbliver MD5-algoritmen en meget populær hash-funktion på trods af sin kendte sårbarhed over for kollisionsangreb. Selv SHA1 betragtes faktisk ikke længere som sikker i denne henseende.

På trods af dette er MD5 og SHA1 stadig de mest populære algoritmer, der bruges til at generere hashværdier. SHA256 forbliver dog sikker.

Udvikler dovenskab

Udviklere opdaterer undertiden deres programmer med fejlrettelser og nye funktioner, men forsømmer ikke at offentliggøre en opdateret hash-kontrolum. Dette resulterer i en mislykket hash-check, når du downloader og forsøger at bekræfte deres program.

Dette er naturligvis intetsteds så alvorligt som en hashcheck, der giver ondsindet software et pas, men det kan ødelægge tilliden til økosystemet, hvilket resulterer i, at folk ikke gider at kontrollere integriteten af ​​filer, de downloader....

Kryptografiske hashes vs digitale signaturer

De fleste af problemerne med kryptografiske hashser rettes ved brug af digitale signaturer, der garanterer både integritet og autentificering.

Udviklere, der er glade for at bruge proprietær kode, kan automatisk og gennemsigtig validere underskrifter, når deres software først installeres ved hjælp af mekanismer som Microsoft, Apple eller Google PKI (public key infrastruktur) teknologier.

Open source-udviklere har ikke denne luksus. De skal bruge PGP, som ikke oprindeligt understøttes af noget proprietært operativsystem, og hvorfor der ikke findes nogen ækvivalent med Microsoft, Apple eller Google PKI'er i Linux.

Så PGP digitale signaturer skal verificeres manuelt. Men PGP er et komplet svin at bruge og er ikke en enkel proces, da et hurtigt blik på vores guide til kontrol af PGP-underskrifter i Windows vil demonstrere.

Det er heller ikke den faktiske underskrivelsesproces for udviklere, der er klar over, at der i den virkelige verden kun gider at kontrollere digitale signaturer manuelt, alligevel.

Kryptografiske hashes er næsten ikke så sikre som PGP digitale signaturer, men de er meget lettere at bruge, med det resultat, at mange udviklere simpelthen vælger at stole på dem i stedet for digitalt at underskrive deres arbejde.

Du skal virkelig hasch-check (hvis der ikke findes nogen digital signatur)

Dette er en mindre end ideel situation, og du skal altid kontrollere et open source-programmets digitale signatur, når en er tilgængelig. Hvis man ikke er det, er det meget bedre at kontrollere dets kryptografiske hash end at gøre noget.

Så længe du er overbevist om kilden (for eksempel er du sikker på, at den kommer fra udviklerens rigtige websted, som ikke er blevet hacket for at vise en falsk kryptografisk hash), så at kontrollere dens hashværdi giver en rimelig grad af tilfældighed, at softwaren du har downloadet er den software, dens udvikler har til formål at downloade.

Hvis hverken en digital signatur eller et kontrolsum er tilgængeligt for open source-software, skal du ikke installere eller køre den.

Sådan hash-check

Den grundlæggende proces er som følger:

Valgfri underrubrik

  1. Skriv en note om det hashnummer, der er offentliggjort af udvikleren
  2. Generer hashværdien af ​​den fil, du har
  3. Sammenlign de to hashværdier

Hvis de er identiske, har du den fil, som udvikleren havde til hensigt, at du skulle have. Hvis ikke, er det enten blevet ødelagt eller er blevet manipuleret.

Hvis en SHA256 + hash er tilgængelig, skal du kontrollere det. Hvis ikke, så brug SHA1. Kun som en sidste udvej skal du kontrollere mod en MD5-hash.

Den lette måde (alle systemer)

Den enkleste måde at generere hashværdien af ​​filer på er ved at bruge et websted såsom Online Tools. Vælg bare den type hashværdi, du har brug for at generere, og træk og slip derefter den krævede fil til det angivne rum, og den relevante hashværdi genereres.

Eksempel

Vi vil kontrollere integriteten af ​​KeePass-installationsfilen, som vi har downloadet fra KeePass.org-webstedet (som vi ved at er det rigtige domæne). Webstedet offentliggør MD5, SHA1 og SHA256 hash for alle versioner af KeePass, så vi tjekker SHA256 for den version, vi downloadede.

  1. Vi noterer den korrekte hashværdi, som offentliggøres på KeePass-webstedet.

  2. Vi besøger derefter webstedet Online-værktøjer, vælger File Hash: SHA256 og trækker vores downloadede KeePass-installationsfil til det medfølgende rum.

  3. Vi sammenligner output med kontrolsummen, der er offentliggjort på KeePass-webstedet, og de er identiske. Så hvis vi antager, at KeePass-webstedet ikke er blevet hacket for at vise falske hashværdier, kan vi være sikre på, at vi har downloadet en fil, der ikke er forurenet. yay!

    Windows, macOS og Linux har også indbyggede hashværdifunktioner, der kan fås adgang til via kommandolinjen...

vinduer

Denne metode fungerer ude af boksen i Windows 10, mens Windows 7-brugere først skal opdatere Windows PowerShell med Windows Management Framework 4.0.

For at få en SHA256-hash skal du højreklikke på Start -> Windows PowerShell og type:

Get-FileHash [sti / til / fil]

For eksempel:

Get-FileHash C: \ Brugere \ Douglas \ Downloads \ KeePass-2.43-Setup.exe

MD5- og SHA1-hashes kan beregnes ved hjælp af syntaks:

Hent-FileHash [sti til [sti / til / fil] -Algoritme MD5

og

Hent-FileHash [sti til [sti / til / fil] -Algoritme SHA1

For eksempel:

Get-FileHash C: \ Brugere \ Douglas \ Downloads \ KeePass-2.43-Setup.exe-Algoritme MD5

MacOS

Åben terminal og type:

openssl [hash type] [/ path / to / file]

Hash-typen skal være md5, SHA1 eller SHA256.

For eksempel at kontrollere SHA256-hash for Windows KeePass-installationsprogrammet (bare for at holde tingene enkle til denne tutorial), skal du skrive:

openssl sha256 / Brugere/douglascrawford/Downloads/KeePass-2.43-Setup.exe

Linux

Åben terminal og skriv enten:

Md5sum [sti / til / fil] Sha1sum [sti / til / fil]

eller

Sha256sum [sti / til / fil]

For eksempel:

sha256sum /home/dougie/Downloads/KeePass-2.43-Setup.exe

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me