Kuinka, miksi ja milloin sinun pitäisi hajauttaa tarkistus

Täällä ProPrivacyssa me vain rakkaus avoimen lähdekoodin ohjelmisto. Tämä johtuu pääasiassa siitä, että vaikka avoin lähdekoodi ei olekaan täydellistä, se on ainoa tapa tietää varmasti, että ohjelma on tasolla.


Yksi ongelma on kuitenkin se, miten tiedät, että verkkosivustolta lataamasi avoimen lähdekoodin ohjelma on ohjelma, jonka sen kehittäjät ovat suunnitelleet sinun lataavan? Kryptografiset tiivisteet ovat osittainen ratkaisu tähän ongelmaan.

Mikä on salaustekniikka?

Salaushajautus on tarkistussumma tai digitaalinen sormenjälki, joka on johdettu suorittamalla yksisuuntainen hajautustoiminto (matemaattinen toimenpide) tietokoneohjelmaa (tai muita digitaalisia tiedostoja) sisältävälle tiedolle.

Mikä tahansa muutos vain yhdessä tavussa tietokoneohjelmaa käsittävissä tiedoissa muuttaa hash-arvoa. Hajautusarvo on siis minkä tahansa ohjelman tai muun digitaalisen tiedoston ainutlaatuinen sormenjälki.

Mikä on hash check?

Varmista, että ohjelmaa ei ole peukaloitu tai että se on vain vioittunut, on melko yksinkertainen asia laskea sen hash-arvo ja verrata sitä sitten kehittäjien tarjoamaan hash-tarkistussummaan..

Jos se on sama, sinulla on kohtuullinen luottamus siihen, että lataamasi ohjelma on täsmälleen sama kuin kehittäjän julkaisema. Jos ei, niin ohjelmaa on muutettu jollain tavalla.

Syyt tähän eivät ole aina haitallisia (katso alla), mutta epäonnistuneen hash-tarkistuksen pitäisi asettaa hälytyskellot soimaan.

Ongelmia hash-tarkastuksissa

Olet ehkä havainnut varovaisuuden, kun laulat kiitoksia hash-tarkastuksista...

Rehellisyys, mutta ei todennusta

Hash-tarkistukset ovat hyödyllisiä tiedostojen eheyden varmistamisessa, mutta ne eivät tarjoa minkäänlaista todennusta. Toisin sanoen ne ovat hyviä varmistamaan, että tiedostosi tai ohjelmasi vastaa lähdettä, mutta ne eivät tarjoa keinoa varmistaa lähteen laillisuus.

Hash-tarkastukset eivät anna takuuta hash-tarkistussumman lähteelle.

Esimerkiksi on olemassa vääriä verkkosivustoja, jotka levittävät suositun avoimen lähdekoodin ohjelmistojen, kuten KeePassin, haitallisia versioita. Monet näistä verkkosivustoista tarjoavat jopa hash-tarkistussummia toimittamiinsa ohjelmiin, ja jos tarkistaisit nämä väärennetyltä ohjelmalta, ne vastaisivat. Oho.

Matemaattiset heikkoudet

Lisäongelma on, että matemaattiset heikkoudet voivat tarkoittaa, että tiivisteet eivät ole niin turvallisia kuin niiden pitäisi olla.

Esimerkiksi MD5-algoritmi on edelleen erittäin suosittu hajautusfunktio huolimatta sen tunnetusta haavoittuvuudesta törmäyshyökkäyksille. Itse asiassa jopa SHA1: tä ei pidetä enää turvallisena tässä suhteessa.

Tästä huolimatta MD5 ja SHA1 ovat edelleen suosituimpia algoritmeja, joita käytetään hash-arvojen tuottamiseen. SHA256 on kuitenkin edelleen turvallinen.

Kehittäjän laiskuus

Kehittäjät päivittävät toisinaan ohjelmansa virhekorjauksilla ja uusilla ominaisuuksilla, mutta laiminlyövät päivitetyn hash-tarkistussumman julkaisemisen. Tämä johtaa epäonnistuneeseen hash-tarkistukseen, kun lataat ja yrität vahvistaa heidän ohjelmansa.

Tämä ei tietenkään ole läheskään yhtä vakava kuin hash-tarkistus, joka antaa haittaohjelmille passin, mutta se voi heikentää luottamusta ekosysteemiin, jolloin ihmiset eivät vaivaudu tarkistamaan lataamiensa tiedostojen eheyttä....

Salaus hash vs. digitaaliset allekirjoitukset

Suurin osa salaushajautusten ongelmista korjataan käyttämällä digitaalisia allekirjoituksia, jotka takaavat sekä eheyden että todennuksen.

Kehittäjät, jotka käyttävät mielellään omaa koodia, voivat automaattisesti ja läpinäkyvästi vahvistaa allekirjoitukset, kun heidän ohjelmistonsa asennetaan ensimmäisen kerran, käyttämällä mekanismeja, kuten Microsoft, Apple tai Google PKI (julkisen avaimen infrastruktuuri)..

Avoimen lähdekoodin kehittäjillä ei ole tätä ylellisyyttä. Heidän on käytettävä PGP: tä, jota mikään oma käyttöjärjestelmä ei tue natiivisti, ja miksi Microsoftin, Applen tai Google PKI: n vastaavia ei ole Linuxissa.

Joten PGP-digitaaliset allekirjoitukset on tarkistettava manuaalisesti. Mutta PGP on täydellinen käytettävä sika, eikä se ole yksinkertainen prosessi, kuten pikaopas meidän oppaaseemme PGP-allekirjoitusten tarkistamiseen Windowsissa osoittaa.

Alkuperäinen allekirjoitusprosessi ei ole myöskään kehittäjille, jotka ovat hyvin tietoisia siitä, että todellisessa maailmassa harvat ihmiset eivät vaivaudu tarkistamaan digitaalisia allekirjoituksia manuaalisesti..

Salaushajautukset eivät ole läheskään yhtä turvallisia kuin PGP-digitaaliset allekirjoitukset, mutta niitä on paljon helpompi käyttää, mistä syystä monet kehittäjät valitsevat vain luottaa niihin sen sijaan, että allekirjoittaisivat teoksensa digitaalisesti..

Sinun tulisi todella tarkistaa hash (jos digitaalista allekirjoitusta ei ole)

Tämä on vähemmän kuin ihanteellinen tilanne, ja sinun on aina tarkistettava avoimen lähdekoodin ohjelman digitaalinen allekirjoitus, kun sellainen on saatavilla. Jos ei ole, niin sen salaustekniikan tarkistaminen on paljon parempi kuin tekemättä mitään.

Niin kauan kuin olet varma lähteestä (olet esimerkiksi varma, että se on kehittäjän oikealta verkkosivustolta, jota ei ole hakkeroitu näyttämään vääriä salaustekniikkaa), silloin hash-arvon tarkistaminen tarjoaa kohtuullisen sattuman, että ohjelmisto on ladannut on ohjelmisto, jonka kehittäjä on tarkoitettu sinulle lataamaan.

Jos avointa lähdekoodia varten ei ole saatavana digitaalista allekirjoitusta eikä tarkistussummaa, älä asenna tai suorita sitä.

Kuinka hash check

Perusprosessi on seuraava:

Valinnainen alanimike

  1. Tee muistiinpano kehittäjän julkaisemasta hash-numerosta
  2. Luo tiedostosi hash-arvo
  3. Vertaa kahta hash-arvoa

Jos ne ovat identtisiä, sinulla on tiedosto, jonka kehittäjä on tarkoittanut sinulle. Jos ei, niin se on joko vioittunut tai sitä on muokattu.

Jos SHA256 +-hash on saatavana, tarkista siitä. Jos ei, käytä SHA1: tä. Ainoa viimeisenä keinona sinun tulee tarkistaa MD5-tiiviste.

Helppo tapa (kaikki järjestelmät)

Yksinkertaisin tapa luoda tiedostojen hash-arvo on käyttää verkkosivustoa, kuten Online-työkaluja. Valitse vain luotavan hash-arvon tyyppi ja vedä ja pudota tarvittava tiedosto annettuun tilaan ja asianmukainen hash-arvo luodaan..

esimerkki

Haluamme tarkistaa KeePass-asennustiedoston eheyden, jonka olemme ladanneet KeePass.org-verkkosivustolta (jonka tiedämme olevan oikea verkkotunnus). Verkkosivusto julkaisee MD5-, SHA1- ja SHA256-hashit kaikille KeePass-versioilleen, joten tarkistamme SHA256-versiosta lataamasi version..

  1. Merkitsemme oikean hash-arvon, sellaisena kuin se on julkaistu KeePass-verkkosivustolla.

  2. Vierailemme sitten Online Tools -verkkosivustolla, valitse File Hash: SHA256 ja vedä ladattu KeePass-asennustiedostomme annettuun tilaan..

  3. Vertaamme tuotoksia KeePass-verkkosivustolla julkaistuun tarkistussummaan, ja ne ovat identtisiä. Joten olettaen, että KeePass-verkkosivustoa ei ole hakkeroitu esittämään vääriä hash-arvoja, voimme olla varmoja, että olemme ladanneet vahingoittumattoman tiedoston. jee!

    Windowsissa, macOS: issa ja Linuxissa on myös sisäänrakennetut hash-arvotoiminnot, joihin pääsee komentorivin kautta...

Windows

Tämä menetelmä toimii Windows 10 -käyttöjärjestelmässä, kun taas Windows 7 -käyttäjien on ensin päivitettävä Windows PowerShell Windows Management Framework 4.0: lla..

Saadaksesi SHA256-hash, napsauta hiiren kakkospainikkeella Käynnistä -> Windows PowerShell ja tyyppi:

Get-FileHash [polku / tiedostoon]

Esimerkiksi:

Get-FileHash C: \ Käyttäjät \ Douglas \ Lataukset \ KeePass-2.43-Setup.exe

MD5- ja SHA1-tiivisteet voidaan laskea syntaksilla:

Get-FileHash [polku [polku / tiedostoon] -algoritmi MD5

ja

Get-FileHash [polku [polku / tiedostoon] -algoritmi SHA1

Esimerkiksi:

Get-FileHash C: \ Käyttäjät \ Douglas \ Lataukset \ KeePass-2.43-Setup.exe -Algorithm MD5

Mac käyttöjärjestelmä

Avaa terminaali ja kirjoita:

openssl [hash type] [/ polku / tiedostoon]

Hash-tyypin tulisi olla md5, SHA1 tai SHA256.

Jos haluat tarkistaa esimerkiksi Windows KeePass -asentajan SHA256-tiivisteen (jotta asiat olisivat yksinkertaisia ​​tämän opetusohjelman kannalta), kirjoita:

openssl sha256 /Users/douglascrawford/Downloads/KeePass-2.43-Setup.exe

Linux

Avaa terminaali ja kirjoita joko:

Md5sum [polku / tiedostoon] Sha1sum [polku / tiedostoon]

tai

Sha256sum [polku / tiedostoon]

Esimerkiksi:

sha256sum /home/dougie/Downloads/KeePass-2.43-Setup.exe

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me